LastPass:黑客窃取加密用户密码库
LastPass发布了一份安全建议,通知客户8月份遭受的数据泄露比想象的要严重得多。
LastPass是一款流行的密码管理应用程序。今年8月,该公司通知客户,它遭遇了一次数据泄露,“部分源代码和一些LastPass专有技术信息”被盗。当时,该公司向客户保证,密码没有被盗或泄露。
该公司提供了最新情况,告知客户8月份被盗的数据被用来损害一名员工的凭据,并获得对该公司基于云的存储服务的访问权限。由于这次二次入侵,黑客能够下载客户数据保险库的备份副本。
该公司在其公告中描述了这个问题:
到目前为止,我们已经确定,一旦获得云存储访问密钥和双存储容器解密密钥,威胁参与者就会从备份中复制包含基本客户帐户信息和相关元数据的信息,这些元数据包括公司名称、最终用户名、账单地址、电子邮件地址、电话号码和客户访问LastPass服务的IP地址。
威胁行为人还能够从加密存储容器中复制客户保管库数据的备份,该存储容器以专有的二进制格式存储,其中既包含未加密的数据(如网站URL),也包含完全加密的敏感字段(如网站用户名和密码)、安全笔记和填写表单的数据。
尽管入侵严重,但LastPass表示,客户密码仍然是安全的…至少目前是这样。该公司表示,加密的字段使用256位的AES加密进行保护,加密密钥基于用户的主密码。在强大的加密和LastPass无法访问用户密码的事实之间,理论上说,用户的密码库应该仍然是安全的。
尽管有这样的保证,LastPass表示,所有用户都应该立即更改他们的主密码,以防止黑客使用暴力攻击试图访问金库或在钓鱼和诈骗尝试中使用一些未加密的数据的风险。
威胁参与者可能会尝试使用暴力来猜测您的主密码,并解密他们窃取的电子仓库数据副本。由于我们使用散列和加密方法来保护我们的客户,因此试图强行猜测遵循我们密码最佳实践的客户的主密码将是极其困难的。我们经常针对我们的算法测试最新的密码破解技术,以跟上并改进我们的加密控制。
威胁参与者还可能以客户为目标,对与您的LastPass保管库关联的在线帐户进行网络钓鱼攻击、凭据填充或其他暴力攻击。为了保护自己免受社交工程或网络钓鱼攻击,重要的是要知道,LastPass永远不会给您打电话、发电子邮件或发短信,并要求您点击一个链接来验证您的个人信息。除了从LastPass客户端登录到您的电子仓库外,LastPass永远不会要求您提供主密码。
鉴于LastPass应用程序的受欢迎程度以及它在无数个人的网络安全中扮演的重要角色,LastPass的爆料令人不安。人们只能希望该公司将采取严厉措施,确保此类违规事件不会再次发生。
