หน่วยงานรัฐบาลกลางยืนยันความเชื่อมโยงระหว่างการแฮ็ก LastPass ปี 2022 กับการขู่กรรโชกทางไซเบอร์

 (krebsonsecurity.com)
1 คะแนน โดย GN⁺ 2025-03-09 | 1 ความคิดเห็น | แชร์ทาง WhatsApp

  • เหตุการณ์แฮ็ก LastPass ในเดือนกันยายน 2023

    • KrebsOnSecurity รายงานในเดือนกันยายน 2023 ว่า มาสเตอร์พาสเวิร์ดของ LastPass ถูกขโมยไป ส่งผลให้เหยื่อหลายรายสูญเสียเงินจากการโจรกรรมทางไซเบอร์รวมกันหลายแสนดอลลาร์
    • เจ้าหน้าที่สืบสวนของรัฐบาลกลางสหรัฐได้ข้อสรุปเดียวกันระหว่างการสอบสวนคดีขโมยคริปโตมูลค่า 150 ล้านดอลลาร์ที่เกิดขึ้นเมื่อวันที่ 30 มกราคม 2024

  • คดีขโมยคริปโตเคอร์เรนซี

    • เมื่อวันที่ 6 มีนาคม 2024 อัยการรัฐบาลกลางในเขต Northern District of California ประกาศว่าสามารถกู้คืนคริปโตเคอร์เรนซีมูลค่าราว 24 ล้านดอลลาร์ได้ หลังเหตุโจรกรรมทางไซเบอร์มูลค่า 150 ล้านดอลลาร์
    • คาดว่าเหยื่อในคดีนี้คือ Chris Larsen ผู้ร่วมก่อตั้ง Ripple

  • ผลการสืบสวนของเจ้าหน้าที่รัฐบาลกลาง

    • U.S. Secret Service และ FBI ได้ข้อสรุปตรงกันเกี่ยวกับคดีโจรกรรมที่เชื่อมโยงกับเหตุแฮ็ก LastPass
    • ยืนยันว่าข้อมูลและรหัสผ่านที่ถูกขโมยถูกนำไปใช้เข้าถึงบัญชีตัวจัดการรหัสผ่านออนไลน์ของเหยื่อโดยมิชอบ เพื่อขโมยคริปโตเคอร์เรนซีและข้อมูลอื่น ๆ

  • ลักษณะร่วมกันของผู้เสียหาย

    • นักวิจัยด้านความปลอดภัย Nick Bax และ Taylor Monahan พบว่าเหยื่อไม่ได้เผชิญการโจมตีแบบทั่วไปอย่างการยึดอีเมล บัญชีมือถือ หรือการโจมตีแบบ SIM swapping
    • เหยื่อทั้งหมดเก็บวลี seed ของคริปโตไว้ใน "Secure Notes" ของบัญชี LastPass

  • รูปแบบการโจรกรรมที่ซับซ้อน

    • เงินที่ถูกขโมยถูกย้ายอย่างรวดเร็วไปยังหลายบัญชีในแพลตฟอร์มซื้อขายคริปโตหลายแห่ง
    • รัฐบาลประเมินว่ารูปแบบการโจรกรรมที่ซับซ้อนนี้เกิดจากความร่วมมือของผู้ไม่หวังดีหลายฝ่าย

  • ปฏิกิริยาของ LastPass

    • LastPass อ้างว่ายังไม่เห็นหลักฐานชี้ขาดจากเจ้าหน้าที่รัฐบาลกลางหรือแหล่งอื่นใดว่าเหตุโจรกรรมดังกล่าวเกี่ยวข้องกับการแฮ็ก LastPass
    • ในเดือนสิงหาคม 2022 LastPass ประกาศว่าตรวจพบกิจกรรมผิดปกติในสภาพแวดล้อมการพัฒนาซอฟต์แวร์ และมีซอร์สโค้ดบางส่วนกับข้อมูลทางเทคนิคถูกขโมย
    • ในเดือนพฤศจิกายน 2022 LastPass แจ้งลูกค้าว่าคลังรหัสผ่านที่เข้ารหัสและข้อมูลส่วนบุคคลถูกแฮ็ก

  • ความเห็นของผู้เชี่ยวชาญด้านความปลอดภัย

    • เหยื่อจำนวนมากใช้มาสเตอร์พาสเวิร์ดที่มีความซับซ้อนไม่สูง ซึ่งบ่งชี้ว่ามีแนวโน้มเป็นลูกค้าเก่าของ LastPass
    • แม้ LastPass จะกำหนดให้ผู้ใช้ใหม่ต้องใช้รหัสผ่านที่ซับซ้อนขึ้น แต่ดูเหมือนจะไม่ได้บังคับใช้กับลูกค้าเก่า

  • ความจำเป็นในการยกระดับความปลอดภัย

    • นักวิจัยระบุว่า LastPass ควรแนะนำให้ลูกค้าเปลี่ยนรหัสผ่าน
    • แม้ LastPass จะมีท่าทีปฏิเสธ แต่นักวิจัยด้านความปลอดภัยย้ำว่ายังจำเป็นต้องมีมาตรการเพิ่มเติมเพื่อป้องกันการแฮ็กเพิ่มขึ้น

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2025-03-09
ความคิดเห็นจาก Hacker News
  • 1Password ได้รับการยอมรับไม่มากพอสำหรับการเลือกเข้ารหัสทุก vault ด้วย secret key ขั้นสูง แม้ว่าสิ่งนี้จะมีต้นทุนทั้งในด้านประสบการณ์ผู้ใช้และภาระงานซัพพอร์ต แต่ก็ทำให้แม้ข้อมูลจะรั่วไหลก็ไม่ใช่ปัญหาใหญ่
  • LastPass ประเมินการรั่วไหลของข้อมูลต่ำเกินไป และไม่ได้เข้ารหัสข้อมูลอย่างส่วนโน้ตให้เหมาะสม พวกเขาหลบเลี่ยงความรับผิดชอบ แต่ควรถูกฟ้องร้อง
  • LastPass รู้ว่ารหัสผ่านมาสเตอร์ของผู้ใช้จำนวนมากไม่ปลอดภัยเพียงพอ แต่ก็ไม่ได้จัดการเชิงรุก เรื่องนี้ให้อภัยไม่ได้
  • คนที่ใช้ LastPass ควรย้ายไปใช้ตัวเลือกที่น่าเชื่อถือกว่ามากกว่า เช่น 1Password, Bitwarden, Keepass และควรเปลี่ยนรหัสผ่านสำคัญทั้งหมด
  • ยังสับสนว่าแฮ็ก LastPass ทำให้รหัสผ่านสูญหายได้อย่างไร เดิมคิดว่ามันทำงานแบบเดียวกับ 1Password ซึ่งถ้าเป็นอย่างนั้นก็น่าจะยังยากมากหรือแทบเป็นไปไม่ได้ มีใครอธิบายได้ไหมว่าตัวจัดการรหัสผ่านหรือ LastPass ต่างกันอย่างไร
  • 1Password แบ่งคีย์ถอดรหัสออกเป็นสองส่วน: รหัสผ่านเดียวของผู้ใช้ + secret key ต้องมีทั้งสองอย่าง secret key ถูกสร้างแบบสุ่มและมีขนาดราว 128 บิต 1Password เป็นผู้สร้างและส่งให้ผู้ใช้ แต่จะไม่เห็นมันอีก แม้ vault จะถูกขโมยไป ก็ยังต้องถอดทั้งรหัสผ่านและ secret key 128 บิต จึงรับประกันความปลอดภัยขั้นต่ำ 128 บิต
  • แล้ว LastPass ต่างอย่างไร? secret key ก็ถูกขโมยไปด้วยหรือ? vault ที่ถูกขโมยถูกโจมตีเพิ่มเติมเพื่อดึง secret key ออกมาหรือ? LastPass ไม่ได้ใช้โครงสร้างคล้ายกับ 1Password หรือ? หรือแม้ใช้ 1Password อยู่ก็ควรคิดว่ายังไม่ปลอดภัย?
  • เลิกใช้ LastPass ตั้งแต่เหตุละเมิดความปลอดภัยครั้งใหญ่ครั้งที่สองในปี 2013 ใน Wikipedia มีแค่ 3 เหตุการณ์ทั้งหมด แต่เคยเห็นรายงานอย่างน้อย 5 ครั้งตั้งแต่ปี 2010 จนถึงวันนี้ ตลอดเวลานั้นก็ยังเห็นบริษัทต่าง ๆ ใช้ LastPass ต่อไป และก็แปลกใจทุกครั้ง
  • LastPass อ้างว่าไม่มีหลักฐานที่เชื่อมสองเหตุการณ์นี้เข้าด้วยกัน แต่ก็ยากจะเชื่อว่าคนที่เก็บ “ของสะสม” มูลค่าหลายล้านดอลลาร์จะไม่เปลี่ยนรหัสผ่านอย่างน้อยปีละครั้ง
  • แม้การหมุนเวียนรหัสผ่านจะไม่ใช่แนวปฏิบัติที่ดีที่สุดอีกต่อไป แต่ในกรณีนี้ก็ยังเป็นทางเลือกที่รอบคอบ
  • มองไปที่ KeepassXC แบบโลคัลแล้วใจเย็นลง
  • เคยมีคนบอกให้เก็บรหัสผ่านไว้บนคลาวด์ และบอกว่าจะไม่มีปัญหาอะไรเลย
  • การรวมข้อมูลรับรองของทุกคนไว้ศูนย์กลางยังคงเป็นไอเดียที่อันตรายที่สุด แม้สิ่งที่ดึงดูดแฮ็กเกอร์มากกว่าจะเป็นยากระตุ้นสมรรถนะฟรี แต่ก็คงแค่ชั่วคราว แล้วพวกเขาก็จะกลับมาพยายามขโมยข้อมูลรับรองของทุกคนอีก
  • เป้าหมายอื่น ๆ ได้แก่ ข้อมูลระบุตัวตนส่วนบุคคลของทุกคน ข้อมูลเกี่ยวกับเพื่อน ครอบครัว และสัตว์เลี้ยง คำตอบสำหรับคำถามความปลอดภัย mobile ID หมายเลข PIN หมายเลขบัญชี ลายเซ็น รูปถ่าย ลายนิ้วมือ รูปแบบเสียง การสแกนใบหน้าและจอประสาทตา ลักษณะการเดิน DNA และ mitochondrial RNA
  • จำได้ว่าตอน LastPass ออกมาใหม่ ๆ ทุกคนคิดว่ามันอ่อนแอและเชื่อถือไม่ได้ Pepperidge Farm ก็จำได้เหมือนกัน
  • คนที่ใส่ใจเรื่องความปลอดภัยทำอย่างไรกับรหัสผ่าน? ดูเหมือนว่าจะต้องใช้รหัสผ่านเดียวกันกับทุกอย่างหรือไม่ก็ใช้ตัวจัดการรหัสผ่าน แต่ก็กลัวเสมอว่าถ้ารวมรหัสผ่านทั้งหมดไว้ที่เดียว เวลาถูกเจาะจะไม่ใช่เสียแค่อันเดียว แต่เสียทั้งหมด
  • หลายโซลูชันให้ความรู้สึกเหมือนต้องแลกกับความสะดวก อาจเก็บแฟ้มเอกสารจริงที่เต็มไปด้วยรหัสผ่านไว้ในห้องทำงานได้ แต่การต้องค้นหาและพิมพ์ทุกครั้งก็ยุ่งยาก และเป็นความเสี่ยงใหญ่สำหรับใครก็ตามที่เข้าถึงทางกายภาพได้