热门密码管理工具LastPass开发商执行长Karim Toubba周五(23日)于公告中披露,有攻击者利用今年8月发生的代码泄漏事件,获取第三方云端服务访问权限,以窃取该公司存在云端的资料库备份数据,除了大量用户敏感资料遭泄漏外,黑客还可能尝试通过暴力破解的方式想办法解密用户储存的密码。
此起Web2安全事件受到币安执行长赵长鹏(CZ)的关注,他昨日在推特上向用户示警LastPass事件称:LastPass最近遭遇资料外泄。我之前在我的文章中推荐过这个密码管理工具。尽管该公司声称最近的攻击对客户密码没有影响,因为应是在客户端加密的,但还是最好确保您启用双重/两步骤验证(2FA)。LastPass提供了更新,黑客拥有包括未加密的电子邮件地址和网站URL等用户信息。如果您重复使用主密码或主密码设置较弱,黑客有可能有此窃取用户的所有凭证。
LastPass解释影响程度
根据该公司声明,LastPass于8月发生部分原始码泄漏,该公司称当时未发现对客户数据或加密密码库的任何入侵,但部分原始码和技术信息遭盗取,这被黑客用来攻击另一名开发者员工。
12月1日,该公司再宣布在第三方云端服务中检测到异常活动,并证实在调查中发现,攻击者一旦获得云端服务访问金钥,和双储存库解密金钥,即可从获取包括用户账户资料和包括公司名、用户名、账单地址、注册电子邮件、电话号码和IP地址等相关数据。同时,黑客还可以从加密储存容器中复制客户密码库的备份资料,包含未加密资料(例如网站URL),还有经完全加密的敏感栏位,例如用户管理的账号、密码与填表资料等。
该公司称,客户的密码仍处于安全加密状态。「这些加密字段只能使用我们的零知识架构从每个用户的主密码派生的唯一金钥解锁。而相关的主密码只有客户自己知道,不会由LastPass储存或维护。数据的加密和解密仅在本地LastPass客户端上执行。」
官方还提到,目前没有证据表明任何未加密的信用卡数据曾被存取,因为LastPass不会储存完整的信用卡号,因此信用卡信息也不会在此云端储存环境中留存。
但官方也指出,骇客可能会「尝试使用暴力破解你的主密码」,虽然困难度极高,但为安全起见,用户应「永远不要在其他网站上重复使用主密码」。也建议主密码较弱的用户需要更改他们储存在该服务中的个人密码。
“重要的是要注意,如果您的主密码没有使用[公司推荐的最佳实践],那么它将大大减少正确猜测所需的尝试次数。在这种情况下,作为一项额外的安全措施,您应该考虑通过更改您储存的网站密码来将风险降至最低。”