연방 당국, 2022년 LastPass 해킹과 사이버 강탈 연관성 확인

 (krebsonsecurity.com)
1P by GN⁺ 26일전 | ★ favorite | 댓글 1개

  • 2023년 9월, LastPass 해킹 사건

    • KrebsOnSecurity는 2023년 9월, LastPass의 마스터 비밀번호가 도난당해 여러 피해자에게 수십만 달러의 사이버 절도가 발생했다고 보도함.
    • 미국 연방 수사관들은 2024년 1월 30일 발생한 1억 5천만 달러 규모의 암호화폐 절도 사건을 조사하며 같은 결론에 도달함.

  • 암호화폐 절도 사건

    • 2024년 3월 6일, 캘리포니아 북부의 연방 검찰은 1억 5천만 달러 규모의 사이버 절도 사건 이후 약 2천 4백만 달러 상당의 암호화폐를 회수했다고 발표함.
    • 이 사건의 피해자는 Ripple의 공동 창립자인 Chris Larsen으로 추정됨.

  • 연방 수사관의 조사 결과

    • 미국 비밀경호국과 FBI는 LastPass 해킹 사건과 관련된 절도 사건에 대해 같은 결론을 내림.
    • 도난된 데이터와 비밀번호가 피해자의 온라인 비밀번호 관리자 계정을 통해 불법적으로 접근되어 암호화폐와 기타 데이터를 탈취하는 데 사용되었음을 확인함.

  • 공통된 피해자 특징

    • 보안 연구원 Nick Bax와 Taylor Monahan은 피해자들이 이메일, 모바일 계정, SIM 스와핑 공격과 같은 전형적인 공격을 겪지 않았음을 발견함.
    • 피해자들은 모두 LastPass 계정의 "Secure Notes"에 암호화폐 시드 구문을 저장했었음.

  • 복잡한 절도 패턴

    • 도난된 자금은 다양한 암호화폐 거래소의 여러 계정으로 빠르게 이동됨.
    • 정부는 이러한 복잡한 절도 패턴이 여러 악의적인 행위자들의 협력에 의해 이루어졌다고 판단함.

  • LastPass의 반응

    • LastPass는 연방 수사관이나 다른 출처로부터 절도 사건이 LastPass 해킹과 관련이 있다는 결정적인 증거를 보지 못했다고 주장함.
    • 2022년 8월 LastPass는 소프트웨어 개발 환경에서 비정상적인 활동을 감지했으며, 일부 소스 코드와 기술 정보가 도난당했다고 발표함.
    • 2022년 11월, LastPass는 암호화된 비밀번호 금고와 개인 정보가 해킹당했다고 고객에게 알림.

  • 보안 전문가의 의견

    • 많은 피해자들이 복잡성이 낮은 마스터 비밀번호를 사용했으며, 이는 LastPass의 오래된 고객일 가능성이 높음.
    • LastPass는 새로운 사용자에게 더 복잡한 비밀번호를 요구했지만, 오래된 고객에게는 이를 적용하지 못한 것으로 보임.

  • 보안 강화 필요성

    • 연구원들은 LastPass가 고객에게 비밀번호 변경을 권장했어야 한다고 주장함.
    • LastPass의 부정적인 반응에도 불구하고, 보안 연구원들은 더 많은 해킹을 방지하기 위해 추가적인 조치가 필요하다고 강조함.
GN⁺ 26일전  [-]
Hacker News 의견
  • 1Password는 모든 금고를 고급 비밀 키로 암호화하는 선택으로 충분한 인정을 받지 못함. 이는 사용자 경험과 지원 부담에 비용이 들지만, 이로 인해 데이터 유출이 발생해도 큰 문제가 되지 않음
  • LastPass는 데이터 유출을 과소평가했고, 노트 섹션과 같은 데이터를 제대로 암호화하지 않음. 책임을 회피했지만, 소송을 당했어야 함
  • LastPass는 사용자 마스터 비밀번호가 충분히 안전하지 않다는 것을 알면서도 적극적으로 대처하지 않음. 이는 용서할 수 없는 일임
  • LastPass를 사용하는 사람들은 1Password, Bitwarden, Keepass와 같은 더 신뢰할 수 있는 옵션으로 이동하고, 중요한 모든 비밀번호를 변경해야 함
  • LastPass 해킹이 어떻게 비밀번호 손실을 초래했는지 혼란스러움. 1Password와 같은 방식으로 작동한다고 생각했는데, 그렇다면 여전히 매우 어렵거나 불가능해야 함. 비밀번호 관리자나 LastPass가 어떻게 다른지 설명해줄 수 있는 사람 있음?
  • 1Password는 복호화 키가 두 부분으로 나뉘어 있음: 사용자의 단일 비밀번호 + 비밀 키. 두 가지 모두 필요함. 비밀 키는 무작위로 생성되며 128비트 정도임. 1Password가 생성하고 사용자에게 보내지만, 다시는 보지 않음. 금고가 도난당해도 비밀번호와 128비트 비밀 키를 해독해야 하므로 최소 128비트 보안이 보장됨
  • LastPass는 어떻게 다른가? 비밀 키도 도난당했나? 도난당한 금고의 대상이 추가 공격을 받아 비밀 키를 추출했나? LastPass는 1Password와 유사한 구조를 사용하지 않나? 아니면 1Password를 사용하면서도 안전하지 않다고 생각해야 하나?
  • 2013년 두 번째 주요 보안 침해 이후 LastPass를 사용하지 않음. Wikipedia에는 총 3건의 사건만 나와 있지만, 2010년부터 오늘까지 최소 5건의 보고를 본 적이 있음. 그동안 회사에서 LastPass를 사용하는 것을 계속 보았고, 매번 놀라움
  • LastPass는 두 사건을 연결하는 증거가 없다고 주장함. 하지만 수백만 달러의 "수집품"을 저장하는 사람들이 최소한 매년 비밀번호를 변경하지 않는다는 것은 믿기 어려움
  • 비밀번호 회전이 더 이상 최선의 관행이 아니지만, 이 경우에는 여전히 신중한 선택임
  • 로컬 KeepassXC를 보며 차분하게 유지함
  • 클라우드에 비밀번호를 저장하라고 했지만, 아무 문제도 없을 것이라고 했음
  • 모든 사람의 자격 증명을 중앙 집중화하는 것은 여전히 가장 위험한 아이디어임. 해커에게 더 매력적인 것은 무료 성과 약물일 수 있지만, 잠시뿐이고 다시 모든 사람의 자격 증명을 훔치려고 할 것임
  • 다른 목표: 모든 사람의 개인 식별 정보, 친구, 가족, 애완동물에 대한 정보, 보안 질문에 대한 답변, 모바일 ID, PIN 번호, 계좌 번호, 서명, 사진, 지문, 음성 패턴, 얼굴 및 망막 스캔, 걸음걸이, DNA, 미토콘드리아 RNA
  • LastPass가 처음 등장했을 때 모두가 약하고 신뢰할 수 없다고 생각했던 것을 기억함. Pepperidge Farm도 기억함
  • 보안에 민감한 사람들은 비밀번호에 대해 무엇을 하나? 모든 것에 동일한 비밀번호를 사용하거나 비밀번호 관리자를 사용해야 하는 것 같음. 하지만 모든 비밀번호가 한 곳에 모이면 하나만 손상되는 것이 아니라 모두 손상될까 봐 항상 걱정됨
  • 많은 솔루션에서 편리함과의 거래가 있는 것처럼 느껴짐. 집무실에 비밀번호가 가득한 물리적 바인더를 보관할 수 있지만, 매번 찾아보고 입력하는 것이 번거롭고, 물리적 접근이 가능한 사람에게 큰 위험임
답변달기