今年,LastPass是安全缺陷的受害者。這次,它涉及該公司與其子公司Goto共享的“雲中”的存儲,該公司受到了損害。
一年的兩個缺陷
去年8月,它是一個開發人員帳戶,允許海盜訪問LastPass的開發環境。然後,該公司向客戶發送了電子郵件,證實了攻擊者偷走了源代碼,同時又偷走了與系統有關的技術信息。
幾週後,LastPass分享了有關此主題的細節,表明黑客在被驅逐之前已經設法將系統訪問四天。 LastPass首席執行官Karim Toubba的聲音今天出現了這一事件。他聲稱,該公司設法確定黑客使用以前的黑客信息可以訪問用戶數據。
“我們使用2022年8月事件中獲得的信息確定,未經授權的第三方訪問了我們客戶的某些要素。»»»»»
海盜無法訪問存儲的密碼
在表明該公司與GoTo共享的在線存儲進入的在線存儲之後,LastPass希望在他的溝通中放心。儘管攻擊者可以訪問該服務上存儲的客戶數據,但該公司確保密碼尚未受到損害,並且他們“由於對LastPass體系結構的零知識,安全加密安全”。
我們最近在第三方雲存儲服務中檢測到了異常活動,該服務目前由LastPass及其會員Goto共享。由於LastPass的零知識體系結構,客戶密碼仍然安全加密。更多信息:https://t.co/xk2vka7icq pic.twitter.com/ynugvwizck
- LastPass(@lastpass)2022年11月30日
“零知識”技術意味著只有用戶知道其主要密碼,並且後者在設備上而不是在服務器級別進行加密。
該公司還表示,它已僱用了Mandiant安全公司調查事件,並警告警察襲擊:“我們勤奮地了解事件的程度,並確定已諮詢的特定信息”。
Toubba指定該服務仍然存在“功能齊全”儘管違反了。 LastPass是今天密碼管理軟件之一世界上最受歡迎的人聲稱擁有超過3300萬用戶和100,000家公司使用其服務。
密碼的問題
超越服務器端的安全缺陷,用戶經常選擇可怕的密碼沒有提供足夠的安全性,以防止黑客入侵。密碼管理人員和科技巨頭打算取代的一個基本問題“ PassKeys”或“訪問密鑰”。
這種保護在線帳戶的新方法將允許用戶以更簡單(且安全的)方式連接到其網站和應用程序,而無論選擇的平台如何。一項應在2023年獲得動力的技術,但要花費時間才能被用戶理解和接受。在此之前,我們強烈建議閱讀我們的文件找出如何正確管理密碼。
來源 : LastPass
