संघीय एजेंसियों ने 2022 LastPass हैक को ₹2,250 करोड़ की cryptocurrency चोरी से जोड़ा
(krebsonsecurity.com)- अमेरिकी संघीय जांच एजेंसियों का मानना है कि 30 जनवरी 2024 को हुई लगभग $150m की cryptocurrency चोरी का संबंध 2022 LastPass breach में चोरी हुए password vaults से है
- Northern California के federal prosecutors ने 6 मार्च 2025 को चोरी की रकम में से फ्रीज़ की गई लगभग $24m मूल्य की cryptocurrency को औपचारिक रूप से ज़ब्त करने की प्रक्रिया आगे बढ़ाई
- ज़ब्ती दस्तावेज़ों में कहा गया है कि FBI और U.S. Secret Service के अनुसार online password manager में संग्रहीत चोरी हुआ data और passwords account access और cryptocurrency theft में इस्तेमाल किए गए
- security researchers ने पाया कि पीड़ितों में SIM swapping जैसे सामान्य शुरुआती हमलों के बिना, 2022 breach से पहले LastPass “Secure Notes” में cryptocurrency seed phrases स्टोर करने का साझा पैटर्न था
- LastPass ने कहा कि उसे इस संबंध को साबित करने वाला निर्णायक सबूत कभी नहीं मिला, लेकिन पुराने accounts के कमजोर master passwords और कम iterations अब भी offline cracking का जोखिम बने हुए हैं
$150m चोरी और ज़ब्ती प्रक्रिया
- Northern California के federal prosecutors ने कहा कि 30 जनवरी 2024 की $150m cryptocurrency theft के बाद रिकवर और फ्रीज़ की गई लगभग $24m मूल्य की cryptocurrency को 6 मार्च 2025 को ज़ब्त किया गया
- ज़ब्ती दस्तावेज़ में पीड़ित को सिर्फ “Victim-1” कहा गया, लेकिन blockchain security researcher ZachXBT के अनुसार पीड़ित cryptocurrency platform Ripple के co-founder Chris Larsen हैं
- ZachXBT को इस चोरी की घटना को सबसे पहले सार्वजनिक करने वाले व्यक्ति के रूप में जाना जाता है
- यह कार्रवाई एक ऐसी प्रक्रिया है जिसके तहत जांच एजेंसियां पहले से फ्रीज़ की गई रकम को औपचारिक रूप से ज़ब्त कर सकती हैं
LastPass breach से संबंध
- ज़ब्ती दस्तावेज़ का मुख्य बिंदु यह है कि U.S. Secret Service और FBI 2023 के सितंबर में KrebsOnSecurity द्वारा किए गए LastPass breach analysis जैसे ही निष्कर्ष पर पहुँचे
- सितंबर 2023 में security researchers ने माना कि 2022 में LastPass से चोरी हुए password vaults के master passwords crack होने के बाद कई पीड़ितों से छह-अंकीय डॉलर राशि वाली cryptocurrency theft बार-बार हुई
- ज़ब्ती दस्तावेज़ में कहा गया है कि FBI संबंधित data breach की जांच कर रही थी, और इस मामले के investigators ने FBI agents से बातचीत के बाद निम्न बातें समझीं
- कई पीड़ितों के online password manager accounts में संग्रहीत चोरी हुआ data और passwords का उपयोग अनधिकृत electronic account access के लिए किया गया
- इस access के जरिए जानकारी, cryptocurrency और अन्य data चोरी किए गए
- दस्तावेज़ में कहा गया है कि यह मानने के लिए पर्याप्त कारण हैं कि उसी attacker ने Victim-1 के online password manager account में संग्रहीत चोरी हुए passwords का उपयोग करके cryptocurrency wallets या accounts में अनधिकृत access हासिल किया
पीड़ितों में बार-बार दिखा पैटर्न
- security researchers Nick Bax और Taylor Monahan ने दर्जनों पीड़ितों की जांच के दौरान पाया कि बड़े cryptocurrency theft से पहले दिखने वाले सामान्य शुरुआती हमले मौजूद नहीं थे
- email account compromise
- mobile phone account compromise
- SIM swapping attack
- पीड़ितों में समानता यह थी कि उन्होंने 2022 LastPass breach से पहले cryptocurrency seed phrases को LastPass account के “Secure Notes” सेक्शन में स्टोर किया था
- seed phrase एक secret code होता है जो cryptocurrency holdings तक पहुंच देता है, और जिसके पास यह हो, वह उन assets तक पहुंच सकता है
- Bax और Monahan ने यह भी पाया कि चोरी की गई रकम कई cryptocurrency exchanges में फैले अनेक drop accounts में तेज़ी से भेजी गई, जो cash-out pattern का साझा संकेत था
- सरकार ने कहा कि Ripple co-founder वाले पीड़ित के मामले में भी इसी तरह की जटिलता दिखी
- चोरी की मात्रा और धन के तेज़ बिखराव से लगता है कि इसमें कई malicious actors की मेहनत लगी होगी
- यह पैटर्न online password manager compromise और समान पीड़ितों से cryptocurrency theft के साथ मेल खाता है
LastPass का खंडन और 2022 breach की समयरेखा
- LastPass ने कहा कि उसे इस cryptocurrency theft को LastPass breach से जोड़ने वाला निर्णायक सबूत संघीय जांच एजेंसियों या किसी और से कभी नहीं मिला
- कंपनी ने कहा कि वह 2022 की घटना के खुलासे के बाद से कई law enforcement agencies के प्रतिनिधियों के साथ करीबी सहयोग कर रही है
- LastPass ने कहा कि उसने security measures को काफी मजबूत करने में निवेश किया है और आगे भी करती रहेगी
- 2022 breach के खुलासे की कहानी चरणबद्ध तरीके से बदली
- 25 अगस्त 2022 को LastPass CEO Karim Toubba ने users को बताया कि software development environment में असामान्य गतिविधि पाई गई और attacker ने कुछ source code और proprietary technical information चुरा ली
- 15 सितंबर 2022 को LastPass ने कहा कि अगस्त breach की जांच में पता चला कि attacker ने customer data या password vaults तक access नहीं किया
- 30 नवंबर 2022 को कंपनी ने customers को बताया कि अगस्त breach से चोरी हुए data का उपयोग कर एक अधिक गंभीर security incident हुआ, जिसमें कुछ password vaults की encrypted copies और अन्य personal information प्रभावित हुई
Offline cracking और पुराने accounts का जोखिम
- experts का मानना है कि breach की वजह से attackers को encrypted password vaults तक offline access मिल गया, जिससे वे शक्तिशाली systems पर लंबे समय तक कमजोर master passwords crack कर सके
- ऐसे systems प्रति सेकंड लाखों password guesses आज़मा सकते हैं
- researchers का मानना है कि cryptocurrency theft के कई पीड़ित अपेक्षाकृत कम जटिलता वाले master passwords इस्तेमाल कर रहे थे और LastPass के पुराने customer base का हिस्सा थे
- पुराने LastPass users में master password सुरक्षा पर लागू iterations की संख्या बहुत कम होने की संभावना अधिक थी
- iterations का मतलब है कि password कंपनी की encryption routine से कितनी बार गुज़रता है
- सामान्य तौर पर iterations जितनी अधिक होंगी, offline attacker को master password crack करने में उतना अधिक समय लगेगा
- समय के साथ LastPass ने नए users के लिए अधिक लंबे और जटिल master passwords अनिवार्य किए और iterations भी कई बार काफी बढ़ाईं
- researchers का मानना है कि उन्हें इस बात के मजबूत संकेत मिले कि LastPass अपने कई पुराने customers को नए password requirements और बेहतर protection level पर upgrade कराने में सफल नहीं हुआ
researchers की चेतावनी और बाकी जोखिम
- Bax ने कहा कि 2023 की चेतावनी के बाद उन्हें उम्मीद थी कि लोग अपनी रकम नए cryptocurrency wallets में ले जाएंगे, लेकिन केवल कुछ लोगों ने ऐसा किया और चोरी जारी रही
- Bax ने कहा कि Secret Service और FBI द्वारा researchers के analysis की पुष्टि किया जाना महत्वपूर्ण है, लेकिन इससे भी बेहतर होता अगर इस तरह की hacking खुद कम हो जाती
- Bax ने कहा कि ZachXBT और SEAL 911 ने दिसंबर 2024 में भी चोरी की एक और लहर की रिपोर्ट की थी, जिससे यह खतरा अब भी वास्तविक बना हुआ है
- Monahan ने आलोचना की कि LastPass ने अब तक customers को यह नहीं बताया कि “Secure Notes” में रखे गए secrets समेत stored secret information जोखिम में हो सकती है
- Monahan का मानना है कि LastPass users को credentials बदलने की सलाह दे सकता था और threat actors को सैकड़ों लाख डॉलर चुराने से रोका जा सकता था
1 टिप्पणियां
Hacker News की रायें
1Password ने सभी vaults को डिवाइसों के बीच ट्रांसफर होने वाली high-entropy secret key से encrypt करने का जो विकल्प चुना, लगता है उसे उतनी मान्यता नहीं मिलती जितनी मिलनी चाहिए
user experience और support का बोझ निश्चित रूप से बढ़ा होगा, लेकिन ऐसी breach होने पर भी इससे असल में बड़ा नुकसान लगभग नहीं होता
इसे desk के नीचे रखे server की virtual machine पर खुद चला सकते हैं
50 साल बाद ये कंपनियां बची रहेंगी या नहीं, पता नहीं, लेकिन अगर मेरे पोते-पोतियां चाहें तो शायद मेरे छोड़े हुए ciphertext से gpg-encrypted gzip file खोलकर CSV में मौजूद passwords देख पाएंगे
आग या बाढ़ में सभी computers खो जाएं तो recovery key भी चली जाएगी, और सिर्फ password से database recover नहीं किया जा सकता
मैं थोड़ा लंबा password और ऊंची PBKDF iteration count वाला KeePassXC इस्तेमाल करता हूं; डिवाइस खो जाने पर भी recovery के लिए किसी खास device की जरूरत नहीं पड़ती
LastPass ही standard पर खरा नहीं उतरा था
LastPass ने breach को छोटा दिखाया, और यह भी सामने आया कि notes area जैसे data को भी ठीक से encrypt नहीं किया गया था
उसे पूरी तरह lawsuits से तोड़ दिया जाना चाहिए था, लेकिन अब तक वह जिम्मेदारी से बच निकला है
LastPass का काम सिर्फ एक था, और वह उसमें fail हुआ। यह जानते हुए भी कि users के master passwords पर्याप्त सुरक्षित नहीं हैं, उन्हें सक्रिय रूप से बताना या proactive कदम न उठाना माफ करना मुश्किल है
अगर आप अभी LastPass इस्तेमाल कर रहे हैं, तो 1Password, Bitwarden, KeePass जैसे ज्यादा भरोसेमंद विकल्पों पर आज ही shift करें, और अपने लिए महत्वपूर्ण सभी passwords बदल दें
https://www.courtlistener.com/docket/66607916/debt-cleanse-g...
case को खुद देखना पड़ेगा, लेकिन यह class action है, इसलिए हारने पर बड़ा झटका होगा, और जीतने पर भी खर्च कम नहीं होगा
लगता है court कई cases को इस case में consolidate कर रहा है; LastPass पर अब तक federal court में 15 बार मुकदमे दायर हो चुके हैं
https://www.courtlistener.com/?q=lastpass%20AND%20(caseName%...
LastPass से export किया, Bitwarden में import किया, फिर कुछ unavoidable UI quirks की आदत डाल ली—बस इतना ही
थोड़ा confusion है कि LastPass hack कैसे password leak तक पहुंचा
1Password के तरीके को जैसा मैं समझता हूं, उसके हिसाब से यह अब भी बहुत मुश्किल या असंभव होना चाहिए; जानना चाहता हूं कि password manager या LastPass के काम करने के तरीके में मैं क्या गलत समझ रहा हूं
मेरी समझ है कि 1Password में decryption key user के single password और secret key में बंटी होती है, और vault decrypt करने के लिए दोनों की जरूरत होती है
secret key random रूप से generate होती है और शायद करीब 128-bit की होती है; 1Password उसे generate करके user को भेजे या local पर generate करे, उसके बाद उसे फिर नहीं देखता—ऐसा मुझे पता है
इसलिए vault चोरी हो जाए तो attacker को अपेक्षाकृत कमजोर password के साथ-साथ 128-bit secret key भी crack करनी पड़ेगी, यानी कम से कम 128-bit security तो मिलती है—ऐसा लगता है
LastPass में क्या अलग था? क्या secret key भी साथ में चोरी हुई? क्या जिन लोगों के vaults चोरी हुए, उन्हें extra attacks से target करके secret key निकाली गई? क्या LastPass 1Password जैसी structure इस्तेमाल नहीं करता था? या 1Password इस्तेमाल करते हुए मैं जितना सुरक्षित समझ रहा हूं, वह उतना सुरक्षित नहीं है?
breach के बाद उसने hash iteration count जल्दबाजी में बढ़ाया [1], और enterprise admins को minimum iteration count set करने की सुविधा भी जोड़ी [2], लेकिन तब तक बहुत देर हो चुकी थी
[1] https://palant.info/2022/12/28/lastpass-breach-the-significa...
[2] https://support.lastpass.com/s/document-item?language=en_US&...
metadata में URL जैसी जानकारी शामिल थी, जिससे attackers ज्यादा valuable vaults को पहले crack करने के लिए चुन सकते थे
अगर vault में सिर्फ facebook.com और google.com logins हैं तो उसे छोड़ दो; अगर उसमें coinbase और 10 दूसरी cryptocurrency sites हैं तो उसे crack करने में कुछ हजार डॉलर लगा दो—कुछ ऐसा
source: https://github.com/cfbao/lastpass-vault-parser/wiki/LastPass...
यानी LastPass के पास पूरी key थी
हालांकि enterprise environments में जब user भूल जाए तो password reset किया जा सकता है, इसलिए 1Password भी user का password “जान” सकता है
पुराने versions या personal version के ज्यादा सुरक्षित होने की संभावना है
2013 के आसपास दूसरी बड़ी security breach के बाद मैंने LastPass छोड़ दिया था
Wikipedia में कुल सिर्फ 3 incidents दिखते हैं, लेकिन मुझे याद है कि 2010 से अब तक reports में मैंने कम से कम 5 देखे हैं
इस दौरान कंपनियों में LastPass लगातार दिखता रहा, और हर बार सच कहूँ तो मैं चौंक गया। पाँच बार ठगे जाएँ तो उसे क्या कहें…
अब तो लगता है कि यह असल में business practice ही बन गई है
food poisoning हो तो सरकार restaurant बंद करवा देती है, लेकिन इस मामले में कुछ क्यों नहीं करती, समझ नहीं आता
ऊपर से अगर मानें कि यह सारा पैसा axis देशों में जा रहा है, तो मामला कहीं ज्यादा गंभीर हो जाता है
LastPass का यह मानना कि दोनों के बीच संबंध का कोई सबूत नहीं है, समझ में आता है
लेकिन यह भी मानना मुश्किल है कि लाखों dollars की “collectibles” रखने वाले लोगों ने कम से कम हर साल password नहीं बदले
मुझे पता है कि बिना वजह periodic password changes अब best practice नहीं माने जाते, लेकिन इस मामले में यह अब भी काफी सतर्क कदम नहीं लगता?
नया wallet बनाकर assets transfer करने पड़ते हैं
local KeePassXC को देखकर शांत मन से उसी का इस्तेमाल जारी रखे हुए हूँ
समझ नहीं आता कि साधारण स्थिति में वापस कैसे जाया जाए। उदाहरण के लिए, shared services और accounts वाला 3 लोगों का परिवार मान लें; अगर सब कुछ KeePass में रखना हो, तो सभी devices और operating systems के बीच file sync खुद संभालना पड़ेगा
उस process में credentials किसी third-party sync service से गुजर सकते हैं, और तब KeePass के ज्यादातर फायदे खत्म हो जाते हैं
self-hosted Bitwarden जैसे instance पर जाना सही रास्ता हो सकता है, लेकिन तब परिवार के एक सदस्य को जिंदगी भर dedicated system administrator बनकर उस instance को सुरक्षित भी रखना होगा और हर समय, हर जगह accessible भी बनाना होगा
कुछ चीजें internet पर नहीं जानी चाहिए
family sharing या emergency access जैसे features कैसे संभालते हैं?
उन्होंने कहा था passwords cloud में डालो, कुछ नहीं होगा
लेकिन क्या लोगों ने सुना? नहीं
इतने लंबे समय के बाद भी सभी के credentials को centralize करना अब भी सबसे खतरनाक idea लगता है
hackers के लिए अगर इससे ज्यादा आकर्षक कुछ है तो शायद free sex और drugs होंगे, लेकिन वह भी थोड़ी देर के लिए; आखिर में वे फिर सभी के credentials चुराने लौट आएँगे
और भी बहुत से targets हैं। सबका personally identifiable information, दोस्तों·परिवार·pets की जानकारी, security questions के answers, mobile ID, PIN numbers, account numbers, signatures, photos, fingerprints, voice patterns, face·retina scans, gait, DNA, यहाँ तक कि mitochondrial RNA भी
self-hosted Vaultwarden सबसे अच्छा है। या फिर गड़बड़ नहीं करनी चाहिए
जो लोग security की परवाह करते हैं, वे passwords कैसे manage करते हैं, यह जानना चाहता हूँ
लगता है या तो हर जगह वही password इस्तेमाल करना पड़ता है, या किसी न किसी रूप में password manager चाहिए, लेकिन सभी passwords एक जगह रखने पर हमेशा चिंता रहती है कि एक नहीं, सब कुछ leak हो जाएगा
कई solutions में convenience का trade-off भी लगता है
घर के study room में passwords लिखी हुई physical binder रखी जा सकती है, लेकिन हर बार ढूँढकर type करना झंझट है और घर तक physical access रखने वाले किसी व्यक्ति के लिए यह बड़ा risk बन जाता है
अगर संभव हो और self-hosting पसंद हो तो Vaultwarden भी अच्छा है
internet से connected होने पर किसी न किसी point पर आपको किसी पर trust करना ही होगा, और strong two-factor authentication (SMS/email छोड़कर) तथा vault backup साथ में इस्तेमाल करने से risk घट सकता है
vault में डालने के बाद किसी point पर सभी passwords reset करने चाहिए
Bitwarden extension या app से लंबे, randomly generated passwords इस्तेमाल करना काफी आसान है
हर service पर भी strong two-factor authentication enable रखना अच्छा है
https://bitwarden.com/help/setup-two-step-login/
https://bitwarden.com/resources/guide-how-to-create-and-stor...
KeePass database को cloud से sync करता हूँ, लेकिन password के साथ उसे खोलने में इस्तेमाल होने वाली passkey file उस machine से बाहर नहीं जाती
साथ ही key file पढ़ने के लिए administrator privileges चाहिए, इसलिए KeePass को elevated privileges में चलाता हूँ, और इससे process memory space भी user-space snooping से protect रहता है
actual password याद नहीं रखता, बल्कि हर site या service के लिए password बनाने वाला algorithm याद रखता हूँ
perfect नहीं है, लेकिन ज्यादातर passwords unique बनते हैं
experts इसे कैसे देखेंगे, पता नहीं, लेकिन मेरे लिए यह ठीक काम करता आया है
मुझे याद है जब LastPass पहली बार आया था, तो सबको लगा था कि यह कमजोर और भरोसेमंद नहीं है
Pepperidge Farm याद रखता है
हालांकि वह 2013 के आसपास की बात थी, जब यह अभी early-stage startup था
password hash की कम iteration count से भी बुरी बात यह थी कि मुझे पता नहीं था कि LastPass इस्तेमाल करते समय बहुत-सा metadata encrypted नहीं होता, और यह बहुत चिंताजनक है
मैं तब भी और अब भी 96-bit ciphertext इस्तेमाल करता था, इसलिए offline attack के लिहाज से breach से सुरक्षित रहा होऊँगा, लेकिन metadata expose हुआ होगा, इसलिए असहज महसूस होता है
2017 में मैं 1Password पर चला गया था, इसलिए उम्मीद है कि breach से पहले मेरा data delete कर दिया गया होगा, लेकिन कौन जाने
क्या वह चिंता “password manager single point of failure है!” जैसी vague बात नहीं, बल्कि स्पष्ट रूप से व्यवस्थित की गई थी?