Facepalm: LastPass是最受欢迎的密码管理服务之一,今年8月被入侵。该公司现在表示,未知黑客造成的损害比最初评估的要严重得多。用户应尽快更改密码。
在关于8月份发现的数据泄露事件的原始报告中,LastPass表示,“只有”该公司的源代码和专有信息被泄露。用户的数据和密码保持安全,不受污染。现在,关于同一事件的后续安全通知却另有说法:恶意行为者也能够访问一些用户的数据。
LastPass表示,黑帽黑客获得了云存储访问密钥和双存储容器解密密钥。有了被盗的密钥,他们能够通过复制包含“基本客户帐户信息和相关元数据,包括公司名称、最终用户名称、账单地址、电子邮件地址、电话号码以及客户访问LastPass服务的IP地址”的备份,进一步危及平台的安全性。
网络犯罪分子还能够从加密的存储容器中复制客户金库数据的备份,该存储容器以专有的二进制格式存储。容器既包括未加密的数据,如网站url,也包括完全加密的敏感字段,如网站用户名和密码、安全备注和表单填充数据。含羞草传媒2022隐藏路线
然而,LastPass表示,即使在网络犯罪分子手中,加密字段也“仍然安全”,因为它们是用256位基于aes的加密算法生成的,“只能用我们的零知识架构从每个用户的主密码中获得的唯一加密密钥来解密”。零知识意味着LastPass不知道解密数据所需的主密码,而解密本身只在本地LastPass客户端上执行,从不在线。
至于信用卡数据,LastPass将部分数据存储在另一个云环境中。至少到目前为止,还没有迹象表明这些数据被访问过。综合考虑,LastPass试图传达这样一个信息:尽管该公司的平台遭到了大规模的入侵,但用户的加密数据仍然是安全的,不会受到任何恶意的攻击。
然而,这并不是说漏洞没有风险或危险。LastPass表示,一个非常坚定的恶意行为者可能会试图10款禁用软件APP下载网站暴力破解加密密码,尽管这种尝试“极其困难”,因为该公司会定期测试“最新的密码破解技术与我们的算法,以跟上并改进我们的加密控制”。
此外,还可能存在针对用户LastPass金库相关在线账户的网络钓鱼攻击或暴力攻击等额外风险。在这种情况下,LastPass表示,他们永远不会打电话、发邮件或发短信给用户,让他们点击链接来验证他们的个人信息。他们也永远不会要求知道保险库的主密码。作为一种极端的安全措施,建议在线密码管理器的用户修改他们的主密码和存储在保险库中的所有密码。
