Sebuah kelompok hacker berhasil mencuri US$4.4 juta (Rp 70 miliar) dalam bentuk mata uang kripto dengan cara membobol password yang disimpan dalam basis data LastPass pada tanggal 25 Oktober 2023.
Laporan ini datang dari ZachXBT dan pengembang MetaMask, Taylor Monahan, yang berhasil melacak pencurian kripto tersebut.
“Kami meminta orang-orang untuk menghubungi korban yang aset kriptonya telah dicuri,” kata ZachXBT seperti dikutip dari BleepingComputer pada hari Selasa (31/10/2023).
Penyelidikan dimulai dengan mengajukan beberapa pertanyaan kepada korban dan mereka akhirnya menemukan ada satu kesamaan di antara para korban, yaitu penggunaan LastPass.
Menurut tweet ZachXBT di Twitter, para penjahat siber ini berhasil mencuri US$4.4 juta dari lebih dari 25 korban karena pelanggaran keamanan yang terjadi di LastPass pada tahun 2022.
Pada tahun tersebut, LastPass mengalami dua pelanggaran keamanan yang memungkinkan para penjahat siber mencuri password, data pelanggan, dan cadangan produksi yang disimpan dalam layanan cloud, termasuk brankas kata sandi yang terenkripsi.
Meskipun brankas terenkripsi tersebut dicuri, hanya pelanggan yang mengetahui password utama yang dapat digunakan untuk mendekripsinya, seperti yang dijelaskan oleh CEO LastPass, Karim Toubba.
Oleh karena itu, jika pengguna menggunakan password yang direkomendasikan oleh LastPass, maka brankas mereka seharusnya aman.
Namun, LastPass juga memperingatkan pengguna yang menggunakan password yang lemah untuk mengatur ulang password utama mereka sesegera mungkin.
Saran ini disampaikan karena password yang lemah lebih mudah diretas menggunakan program khusus yang memanfaatkan kekuatan GPU untuk melakukan serangan brute force terhadap password tersebut.
Berdasarkan penelitian yang dilakukan oleh Monahan dan ZachXBT, terdapat dugaan bahwa para pelaku telah mencuri brankas password untuk memperoleh akses ke frasa sandi, kredensial, dan kunci pribadi dompet mata uang kripto yang disimpan di dalamnya.
Setelah mendapatkan akses ke informasi tersebut, para pelaku dapat memuat dompet ke perangkat mereka sendiri dan menguras semua dana yang ada di dalamnya.
“Kebanyakan korban hanya memiliki sejumlah kelompok password yang tersimpan di LastPass dan telah terkuras,” tulis Monahan dalam cuitannya pada bulan Agustus.
Temuan ini menunjukkan bahwa para pelaku ancaman di balik serangan terhadap LastPass tersebut berhasil memecahkan brankas password dan menggunakan informasi yang dicuri untuk kepentingan mereka sendiri.
