如果您在 LastPass 数据泄露后尚未更改密码，请立即更改

几乎每周都有数据泄露的新闻成为头条新闻。 真正的后果似乎很少见，而成功的攻击却如此常见，以至于人们很容易忽视它们并照常进行。 但在 2022 年的 LastPass 数据泄露事件中，犯罪分子获得了整个密码库的访问权限，导致该公司做出了一系列越来越令人难以置信的否认。

现在看来，LastPass 黑客攻击已导致网络犯罪分子窃取了价值超过 3500 万美元的加密货币。

2022 年 LastPass 数据泄露事件发生了什么？

如果您意识到需要保护您的在线帐户，则需要密码管理器。 密码管理器不会自己记住强密码或对所有内容重复使用相同的密码（我们建议不要这样做），而是为您生成凭据并将其存储在加密的在线保管库中。

一个好的密码管理器将允许您使用主密码解锁您的保管库，从而允许密码管理器使用一组特定于站点的凭据来登录您。

当您依赖密码管理器时，您就信任它来管理您的电子邮件、在线银行、商店奖励计划，当然还有您的加密钱包。

黑客于 2022 年 8 月侵入 LastPass，尽管该公司几个月来一再保证，LastPass 仍于 2022 年 12 月承认个人用户数据以及加密密码库被盗。 大约在这个时候，MUO 开始收到来自 LastPass 客户的电子邮件，声称犯罪分子正在积极使用他们的凭据。

尽管网上猜测和未经证实的报道称犯罪分子能够闯入下载的密码库，但 LastPass 继续安抚客户，称破解主密码需要数百万年的时间。

与 LastPass 之前的声明类似，现在事实证明这可能并不完全正确，一系列可疑交易表明 LastPass 金库中的数据正被用来窃取数字资产。

犯罪分子如何使用被盗的 LastPass 凭证

要登录您的银行帐户，您通常需要比简单密码更多的身份验证。 通常，您的银行会要求您使用特殊的应用程序、短信验证或其他多重身份验证方法。

这不适用于加密钱包，加密钱包通常由 12 个或更多单词的种子短语保护，并允许您完整且不受限制地访问加密资金、私钥和交易。 攻击者只需要这串单词，就可以快速轻松地将你的钱转移到以太坊中。

但是一长串随机单词可能与特别棘手的密码一样难以记住，许多人将它们存储在密码管理器库中。 如何 边缘 据报道，这对于似乎窃取了数百万美元加密货币的黑客来说是个好消息。

Unciphered 分析主管尼克·巴克斯 (Nick Bax) 审查了 Metamask 的泰勒·莫纳汉 (Taylor Monahan) 和其他研究人员发现的大量加密货币盗窃数据。 2023 年 9 月，他告诉 克雷布森安全公司 犯罪分子已将加密货币“从多个受害者转移到相同的区块链地址，使这些受害者彼此紧密联系在一起。”

在识别和采访受害者后，他得出的结论是，唯一的共同因素是他们使用 LastPass 来存储他们的加密种子短语。

Bax 现在要求所有使用 LastPass 的朋友和家人更改所有密码并迁移任何可能暴露的加密货币。

立即更改所有密码

犯罪分子有足够的时间使用被盗的加密密钥来打开被盗的密码库。

虽然窃贼最初的目标是易于转移的加密资产，这是有道理的，但他们也很可能已经暴露了您保存的所有 LastPass 密码。 您不受任何时间限制，并且最终可以依赖价值较低的资源。

虽然他们可能不会直接针对电子邮件帐户、PayPal 钱包或银行，但这些资产可以汇集并出售给其他犯罪第三方。

如果 2022 年之前存储在 LastPass 保管库中的任何密码仍在使用，您应立即更改它们。