Hơn 40 địa chỉ ví bị mất tiền vì sử dụng LastPass
Chuyên gia bảo mật ZachXBT vừa đưa ra cảnh báo về một vụ tấn công tiền điện tử quy mô lớn, đánh cắp khoảng 5.36 triệu USD từ hơn 40 địa chỉ ví. Đáng chú ý, vụ tấn công này có liên quan đến vụ vi phạm dữ liệu nghiêm trọng của LastPass xảy ra vào năm 2022.
Cụ thể, LastPass - dịch vụ quản lý mật khẩu phổ biến - đã bị tấn công vào năm 2022. Kẻ xấu đã xâm nhập hệ thống và đánh cắp một lượng lớn dữ liệu người dùng, bao gồm cả những thông tin nhạy cảm như khóa cá nhân, mã thông báo API và MFA seed. Đây là những thông tin tối quan trọng, cho phép kẻ xấu truy cập và kiểm soát ví tiền điện tử của nạn nhân.
Trong vụ tấn công mới nhất này, hacker đã sử dụng dữ liệu đánh cắp được từ LastPass để chiếm đoạt tiền điện tử từ hơn 40 nạn nhân. Sau khi lấy được tiền, chúng đã nhanh chóng chuyển đổi sang Ethereum và sau đó là Bitcoin thông qua các sàn giao dịch tức thời. Hành vi này nhằm mục đích xóa dấu vết và gây khó khăn cho việc truy tìm.
Vụ việc này một lần nữa cho thấy hậu quả nghiêm trọng và kéo dài của vụ rò rỉ dữ liệu LastPass năm 2022. Trước đó, ZachXBT đã ghi nhận hai vụ tấn công tiền điện tử khác cũng liên quan đến dữ liệu bị đánh cắp từ LastPass, gây thiệt hại hàng triệu USD:
- Tháng 10/2023: Hacker đánh cắp 4.4 triệu USD tiền điện tử.
- Tháng 2/2024: Hơn 6.2 triệu USD bị đánh cắp.
Tổng cộng, ba vụ tấn công liên quan đến LastPass đã gây thiệt hại hơn 15 triệu USD cho người dùng.
Trước tình hình này, ZachXBT cảnh báo người dùng LastPass cần thận trọng và di chuyển tài sản tiền điện tử của mình sang ví khác ngay lập tức nếu họ từng lưu trữ seed phrase hoặc private key trên LastPass.
Vụ tấn công này là bài học cho người dùng về rủi ro bảo mật khi sử dụng các dịch vụ quản lý mật khẩu trực tuyến. Mặc dù tiện lợi, chúng ta cần phải nhận thức rõ những nguy cơ tiềm ẩn và chủ động áp dụng các biện pháp bảo mật bổ sung để bảo vệ tài sản số của mình.
Sự việc cũng đặt ra câu hỏi về trách nhiệm của LastPass trong việc bảo vệ dữ liệu người dùng và hỗ trợ nạn nhân sau vụ rò rỉ. Liệu LastPass đã làm đủ để ngăn chặn các cuộc tấn công và giúp đỡ những người dùng bị ảnh hưởng hay chưa?
Lời khuyên cho người dùng:
- Tuyệt đối không lưu trữ cụm từ hạt giống hoặc khóa cá nhân trên các dịch vụ quản lý mật khẩu trực tuyến.
- Sử dụng ví lạnh (hardware wallet) để lưu trữ tiền điện tử an toàn hơn.
- Luôn bật xác thực hai yếu tố (2FA) cho tất cả các tài khoản quan trọng.
- Thường xuyên cập nhật phần mềm và ứng dụng để vá các lỗ hổng bảo mật.
- Cảnh giác với các email, tin nhắn lừa đảo.