Il semble que le cauchemar LastPass n’est pas fini ! Je me souviens qu’en 2022, ce piratage avait déjà fait trembler les utilisateurs. Mais voilà qu’aujourd’hui, les répercussions de cette violation continuent d’apparaître, et elles coûtent très cher. Un hacker vient de voler des millions de dollars en crypto-monnaies. Encore !
Le piratage d’août 2022 avait permis à un cybercriminel d’accéder à des données sensibles stockées sur le cloud de LastPass. Malgré le chiffrement des coffres-forts de mots de passe, certaines informations sensibles sont tombées entre de mauvaises mains. Notamment, les clés client et les jetons API… Depuis, des portefeuilles de crypto-monnaies liés à ces utilisateurs sont régulièrement vidés.
Un come-back du piratage de LastPass
En août 2022, un pirate a réussi à accéder à des données sensibles dans les serveurs cloud de LastPass. Par conséquent, ce malfrat a mis la main sur les clés client et les jetons API. Il a aussi volé les graines d’authentification multifacteur (MFA) et même les coffres-forts de mots de passe cryptés. Donc si votre mot de passe principal était faible, réutilisé ou déjà exposé, le pirate pouvait facilement le casser et tout récupérer.
LastPass Breach Fallout: $5.4M in Crypto Stolen😲
— TheNewsCrypto (@The_NewsCrypto) December 17, 2024
The “LastPass threat actor” just drained $5.4M from over 40 wallets, flipping stolen funds from $ETH to $BTC through instant swaps.
This hack is connected to the2022 breach, where attackers snagged sensitive data with $4.4M…
Depuis ce piratage, les utilisateurs de LastPass subissent donc une vague de vols. Les pertes liées à ces attaques ont atteint 4,4 millions en octobre 2023. Ensuite, 6,2 millions en février 2024, et maintenant ce nouveau coup à 5,36 millions.
Par ailleurs, l’expert en blockchain ZachXBT a révélé sur Telegram que ce dernier vol était directement lié à la violation de LastPass en 2022. Les pirates échangent ensuite les fonds volés contre de l’ETH (Ethereum). Puis, ils les convertissent en BTC (Bitcoin) via des plateformes d’échange instantané.
Dans son message, ZachXBT a même mentionné que « si vous avez déjà stocké votre phrase de départ ou vos clés dans LastPass, migrez immédiatement vos actifs cryptographiques ». Alors, si vous avez malgré tout changé de gestionnaire de mots de passe depuis, tout mot de passe réutilisé reste vulnérable.
According to @zachxbt 's investigation, over 40 victims have collectively lost $ 5.36 million.
— ExVul (@EXVULSEC) December 17, 2024
The theft of these funds can be traced back to a hacking attack on LastPass that occurred two years ago. pic.twitter.com/oraRM43jTB
La sécurité avant tout !
The Verge a déjà signalé que le piratage initial de 2022 avait entraîné la perte de 35 millions de dollars auprès de 150 victimes. Depuis, l’addition ne fait donc que grimper. Sur ce, je vous conseille donc d’utiliser des mots de passe uniques. Ne réutilisez jamais le même mot de passe, surtout pour vos comptes sensibles.
N’oubliez pas d’adopter un gestionnaire de mots de passe plus robuste. Privilégiez ceux qui offrent des audits de sécurité pour détecter les mots de passe faibles. Ajoutez également une authentification biométrique, cette couche de sécurité supplémentaire qui peut tout changer. Et si vous avez stocké vos phrases de départ ou clés privées dans LastPass, transférez vite vos crypto-monnaies vers un portefeuille sécurisé.
Et vous, ce retour du piratage sur LastPass vous a-t-il déjà affectés ou celui de 2022 ? Partagez votre expérience dans les commentaires.
- Partager l'article :