Aanvallen op cryptowallets terug te leiden naar datalek bij LastPass
Diverse diefstallen van cryptovaluta zijn terug te leiden naar een datalek in 2022 bij wachtwoordmanager LastPass, melden onderzoekers van blockchain-intelligenceplatform TRM Labs. Aanvallers plunderen cryptowallets van slachtoffers en proberen hun buit via Russische crypto-exchanges wit te wassen.
LastPass maakte in 2022 bekend getroffen te zijn door een cyberaanval. Daarbij wisten kwaadwillenden toegang te krijgen tot de ontwikkelingsomgeving van het bedrijf, waar zij onder meer toegang kregen tot broncode en intellectueel eigendom van LastPass. Bij een later gerelateerd security-incident bij cloudopslagbedrijf GoTo zijn daarnaast back-ups van LastPass-databases buitgemaakt. Deze databases bevatten in sommige gevallen ook private keys en seed phrases van cryptowallets.
TRM Labs meldt nu een recente golf aan cyberaanvallen te hebben teruggeleid naar de LastPass-databases die in 2022 zijn gestolen. Opvallend daarbij is dat de aanvallen langere tijd na het beveiligingsincident bij LastPass plaatsvinden. De onderzoekers vermoeden dat de aanvallers bezig zijn buitgemaakte LastPass-vaults stapsgewijs te ontsleutelen en zo private keys en seed phrases van cryptowallets in handen krijgen. Deze wallets worden vervolgens door de aanvallers geplunderd.
Hier is een overzicht op security.nl
https://www.security.nl/search?origin=frontpage&keywords=lastpass
Zelf vind ik online wachtwoord managers een te groot risico, zij het voor confidentially dan wel voor integrity/availability.
Sarcasme in de aanbieding? Ik weet niet welke wachtwoord manager jij gebruik, maar een moderne die de moeite waard is maakt gewoon een backup naar een cloud omgeving. En ja dat is veiliger dan een publieke endpoint van een wachtwoord manager die door 2 miljoen mensen wordt gebruikt. Als je je wachtwoord "verliest" van bitwarden, dan ben je ook je kluis kwijt. Dus in dat opzicht.
Klinkt veilig, stel jezelf wel de vragen of: (dit zijn echt belangrijke punten voor cyber veiligheid)
* je voor elke applicatie een uniek wachtwoord hebt?
* elk wachtwoord uit minimaal 15 karakters bestaat?
* deze wachtwoorden door jou zijn verzonnen of random gegenereerd
* als je ergens een wachtwoord moet wijzigen, je het blad update en ook direct in 3-voud uitprint
* je het bestand met de wachtwoorden NIET op je computer hebt opgeslagen.
* je waar mogelijk tweestapsverificatie aan hebt staan
Bovenstaande is veel werk om manueel allemaal en goed te doen, waardoor deze punten vaak niet allemaal worden uitgevoerd.
En daarmee is het risico vele malen groter dat het toch een keer fout gaat dan je wachtwoorden te beheren met een goede en veilige wachtwoord manager
Goede en op dit moment meest veilige wachtwoord manager zoals 1password[.]eu, bitwarden[.]com, mindyourpass[.]io/nl zorgen dat je zonder moeite aan al deze eisen voldoet.
Is het 100% veilig, nee. Dat is onmogelijk vandaag de dag. Is het veiliger dan zelf wachtwoorden maken en bijhouden, JA!
Zie het als een bank. is je geld daar 100% veilig, nee. 99,8% Ja. Je geld is veiliger op de bank dan cash in huis. (inbreker, brand)
Eén wachtwoord kan alles veranderen.
Mensen hebben opzich 3 jaar gehad om accounts en hun wallet te veranderen. Daarnaast kun je ook ervoor kiezen om een hybride vorm te doen met de accounts met hoge impact offline op te slaan en degene met lage impact in de cloud.
Sarcasme in de aanbieding? Ik weet niet welke wachtwoord manager jij gebruik, maar een moderne die de moeite waard is maakt gewoon een backup naar een cloud omgeving. En ja dat is veiliger dan een publieke endpoint van een wachtwoord manager die door 2 miljoen mensen wordt gebruikt. Als je je wachtwoord "verliest" van bitwarden, dan ben je ook je kluis kwijt. Dus in dat opzicht.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?