Kā paroļu uzglabāšanas platformas izmantošana var novest pie kriptovalūtas zaudēšanas un tiesas prāvas
Pret paroļu pārvaldības pakalpojumu LastPass tika ierosināta kolektīva prasība par datu uzglabāšanas pārkāpumiem.
Tiesvedību ASV Masačūsetsas apgabaltiesā 3. janvārī uzsāka anonīms prasītājs “Džons Dū”. Prasībā tiek apgalvots, ka LastPass uzlaušanas rezultātā tika nozagti bitkoini aptuveni 53 000 USD vērtībā. Tajā pašā laikā LastPass klienti esot ievērojuši visus ieteikumus uzreiz pēc ziņām par uzlaušanu.
Par privāto atslēgu un citu ar kriptovalūtām saistīto slepeno kombināciju glabāšanu ir jāatbild pašam lietotājam. Vislabāk ir paļauties uz sevi un neuzticēties datiem trešo pušu vietnēm. Prasība pret LastPass ir apstiprinājums tam.
Svarīgi saprast, ka, ja nosacītā seed frāze tika ievadīta ierīcē ar interneta savienojumu – vai tas būtu fotoattēls tālrunī vai kombinācijas labošana piezīmēs, to nevar uzskatīt par drošu. Ierīces ar tiešsaistes piekļuvi ir pakļautas uzlaušanai un pikšķerēšanai, kas var izraisīt līdzekļu zaudēšanu.
Vai šo problēmu var atrisināt? Jā. Ideālā gadījumā, lai uzglabātu kriptovalūtu, tokenus un NFT, tiek izmantoti aparatūras maki. Mums jau pazīstamo Ledger ierīču gadījumā seed frāzes ģenerēšana un privāto atslēgu iegūšana notiek ārpus interneta. Tas nozīmē, ka hakeri nevar piekļūt kombinācijai, izmantojot internetu.
Kur glabāt paroli no kripto maka?
Saskaņā ar prasītāja teikto, viņš sāka pirkt BTC 2022. gada jūlijā un atjaunināja savu galveno paroli līdz vairāk nekā 12 rakstzīmēm, izmantojot slepeno kombināciju ģeneratoru, kā to ieteicis LastPass. Prasītājs atstāja privāto atslēgu LastPass glabātuvē, ko aizsargā jaunizveidotā parole. Taču jau 2022. gada augustā kļuva zināms par platformas uzlaušanu. Uzreiz pēc prasītājs savus personas datus no krātuves izdzēsa.
Taču, neskatoties uz ātro darbību, datu noplūdi novērst nebija iespējams. Šeit ir citāts no tiesas prāvas par šo lietu, ko citē Cointelegraph.
2022. gada Pateicības dienas svētku laikā prasītāja bitkoini tika nozagti, izmantojot privātās atslēgas, kuras viņš glabāja pie atbildētāja. LastPass uzlaušana noveda pie viņa kriptovalūtas zādzības.
Prasībā tiek apgalvots, ka cietušie bija pakļauti turpmākas krāpšanas un viņu privātās informācijas ļaunprātīgas izmantošanas riskam. LastPass tiek apsūdzēts par nolaidību, līguma laušanu, iedzīvošanos un fiduciārā pienākuma pārkāpšanā. Taču prasītāja zaudējumu summa netika precizēta.
LastPass
Jauni uzbrukumi NFT īpašniekiem
Diemžēl ziņas par zaudējumiem digitālo aktīvu pasaulē ar to nebeidzas. Kripto industrijas investori jau ziņo par jauniem zaudējumiem no hakeru uzbrukumiem. Viens no viņiem bija pazīstams NFT kopienas pārstāvis ar segvārdu CryptoNovo. Vietnē Twitter viņš ievietoja ekrānuzņēmumu ar izejošajiem darījumiem no sava OpenSea konta ar diviem CryptoPunks sērijas tokeniem. To kopējās izmaksas pārsniedz 300 tūkstošus dolāru.
Hakeris nekavējoties pārdeva tokenus par attiecīgi 70 un 199 ETH . Kopumā no šiem diviem darījumiem viņš Ethereum kriptovalūtā saņēma gandrīz 340 000 USD.
NFT transakcijas
No CryptoNovo tika nozagti arī citi NFT, tostarp darbi no Meebits, CloneX, Mutant Ape Yacht Club un Bored Ape Yacht Club kolekcijām. Lai gan upuris paziņoja, ka konts bija “uzlauzts”, Propers savā tvītā komentēja, ka iemesls, visticamāk, bija pikšķerēšana.
NFT kopienas pārstāvis CryptoNovo, izrādās bija izveidojis vairākus nezināma viedā līguma parakstus. Tieši viens no šiem līgumiem pēc tam tika izmantots lai paveiktu “transferFrom”, lai pārsūtītu NFT no kopienas dalībnieka maka uz hakera maku. Kāds viņu vienkārši apmuļķoja, lai saņemtu atļauju pārvietot viņa tokenus.
Izeja no šīs situācijas būtu bijusi Ledger aparatūras maka izmantošana. Drošs ekrāns, kas ir savienots ar drošības procesoru un ierīce ir izolēta no interneta. Attiecīgi to nav iespējams attālināti uzlauzt.
Par piemēru, ja MetaMask maks datorā būtu uzlauzts, zaglis varētu paslēpt notiekošā darījuma detaļas un lietotājs pats nosūtu savas monētas krāpniekiem, Ledger gadījumā ekrānā tiks parādīta tieši adrese, uz kuru tiks veikts pārskaitījums.
Turklāt aparatūras maki spēj parādīt atļauju atšifrēšanu, mijiedarbojoties ar viedo līgumu, ko lietotājs piešķir. Tādā veidā pēdējais zinās, kad krāpnieka līgums piedāvās piešķirt vairāk atļauju, nekā nepieciešams darījumam. Un tas, savukārt, var glābt jūs no šādas maldināšanas.
Mijiedarbojoties ar kriptovalūtām, neizmantojiet paroļu glabāšanas platformas. Seed frāzes un privātās atslēgas nedrīkst ievadīt ierīcēs ar tiešsaistes savienojumu, jo agrāk vai vēlāk tās var uzlauzt, kas novestu pie digitālo līdzekļu zaudējuma. Nu, lai šeit kaut ko atgrieztu vai saņemtu kādu banālu kompensāciju, var vienkārši neizdoties. Lai gan punktu konkrēti LastPass gadījumā tā vai citādi pieliks tiesa.
