2022 年末,最後通行證被針對兩次網路攻擊。經過調查發現,這兩起入侵事件之間存在關聯。透過這種組合攻擊,網路犯罪分子成功竊取了 LastPass 用戶的大量資料。最重要的是,駭客起飛了備份加密金鑰用戶保險箱。
指出他的疏忽,LastPass 已採取行動提高密碼管理器的安全性。發布者現在強制其用戶配置包含至少 12 個字元的主密碼。 LastPass 也希望確保為其所有客戶正確配置雙重驗證。
最終加密的URL位址
最近,密碼管理器宣布對所有 URL 進行加密存放在客戶的保險箱。在 2024 年 5 月 22 日發布的新聞稿中,LastPass 解釋說,它可以“安全加密保管庫中所有與 URL 相關的字段,不會產生任何不良的用戶體驗。”當使用者造訪網站時,LastPass 會檢查該網站的 URL 並將其與使用者密碼庫中儲存的 URL 進行比較。如果 LastPass 找到符合項,它將自動填寫憑證(即使用者名稱和密碼)以登入網站。
自 2008 年推出以來,LastPass 並未對儲存的 URL 進行加密。為了解釋這一失敗,該公司將矛頭指向當時的技術限制。十六年前,不可能在不降低服務效能的情況下加密所有位址。該過程需要大量的計算能力和記憶體。面對這些“IT 限制”,LastPass放棄了加密URL的想法。隨著時間的推移,限制消失了,允許發布者添加加密。
潛在敏感資訊
此外,出版商保證其已“投入了大量的時間和精力來加強我們的安全”期間“過去 18 個月”。因此,這是對 2022 年底遭受的網路攻擊的新回應。竊取未加密的 URL 列表存放在客戶的保險箱。該地址清單為希望利用竊取的資訊策劃其他攻擊的駭客提供了有價值的資訊。
正如 LastPass 所指出的,URL“包含與您儲存的憑證相關的帳戶性質的詳細資訊(例如銀行、電子郵件、社交媒體)”。顯然,駭客直接知道如果成功解密密碼,他們必須攻擊哪些服務。此外,事實證明 LastPass 駭客攻擊導致多個加密貨幣錢包被駭客入侵。網路安全專家布萊恩·克雷布斯 (Brian Krebs) 表示,3500萬美元的加密貨幣也被盜感謝從 LastPass 竊取的資料。
這就是發布者竭盡全力添加URL加密的原因。這項措施應該允許“提高保密性”新聞稿稱,LastPass 客戶的數量。加密將完成分幾個階段。最初,LastPass 將在 2024 年 7 月左右進行加密“自動將現有帳戶以及任何新帳戶的主 URL 欄位儲存在其保管庫中。”然後,密碼管理器將在下半年對剩餘的位址欄位進行加密。 LastPass 指定使用者無需執行任何操作即可從此改進的安全性中受益。
來源 : 最後通行證
