LastPass 今年第二次成為安全漏洞的受害者。這次涉及的是其「雲端」存儲,該公司與其子公司 GoTo 共享該存儲,該存儲已受到損害。
一年內兩次違規
去年8月,正是一個開發者帳號允許駭客存取LastPass開發環境。該公司隨後向客戶發送電子郵件,確認攻擊者確實竊取了原始程式碼,同時也竊取了與系統相關的技術資訊。
幾週後,LastPass 分享了有關此事的詳細信息,表明駭客在被踢出系統之前設法保持了對系統的訪問權限四天。今天,LastPass 執行長 Karim Toubba 再次報道了此案。他表示,該公司能夠確定駭客利用先前駭客攻擊的資訊取得了用戶資料的存取權限。
「根據 2022 年 8 月事件中獲得的信息,我們確定未經授權的第三方存取了我們客戶資訊的某些元素。 »
駭客將無法存取儲存的密碼
在表示駭客已侵入該公司與 GoTo 共享的線上儲存後,LastPass 希望在溝通中保持安心。儘管攻擊者獲得了對服務上儲存的客戶資料的存取權限,但該公司確保密碼沒有被洩露,並且他們“利用 LastPass 的零知識架構保持安全加密”。
我們最近在第三方雲端儲存服務中偵測到異常活動,目前由 LastPass 及其附屬機構 GoTo 共用。由於 LastPass 的零知識架構,客戶密碼保持安全加密。更多資訊:https://t.co/xk2vKa7icq pic.twitter.com/ynuGVwiZcK
— LastPass (@LastPass)2022 年 11 月 30 日
零知識技術意味著只有用戶知道他們的主密碼,並且它在設備級別而不是伺服器級別進行加密。
該公司還表示,它聘請了安全公司 Mandiant 來調查這起事件,並向執法部門通報了攻擊:“我們正在努力了解事件的範圍並確定所訪問的具體信息”。
圖巴指定服務仍然存在“功能齊全”儘管有違規行為。最後通行證是今天密碼管理軟體之一全球最受歡迎,聲稱擁有超過 3,300 萬用戶和 10 萬家企業使用其服務。
密碼的問題
除了伺服器端安全漏洞之外,使用者經常選擇糟糕的密碼不能提供足夠的安全等級來防止駭客攻擊。密碼管理器和科技巨頭打算為了利益而取代的一個基本問題“密鑰”或“存取密鑰”。
這種保護線上帳戶的新方法將允許用戶更輕鬆(更安全)地登入其網站和應用程序,無論他們選擇什麼平台。這項技術應該會在 2023 年獲得發展勢頭,但需要時間才能被用戶理解和接受。在那之前,我們強烈建議您閱讀我們的文件以了解如何正確管理您的密碼。
來源 : 最後通行證
