本週四,LastPass 就該服務去年 8 月經歷的重大安全漏洞進行了新的披露。雖然幾週前該公司還想讓人放心,調查似乎出現了新的轉折,這不應該讓密碼管理器的用戶滿意。
用戶資料被大量複製
LastPass 針對該公司遭受的駭客攻擊發起的調查正在取得進展。最初的版本報告了一名公司開發人員的駭客攻擊,該駭客破壞了部分開發環境,洩漏了「LastPass 的部分原始碼和一些專有技術資訊」。今天,我們得知洩漏會比那個大一點…
因此,LastPass 在一篇新部落格文章中透露,駭客最終能夠存取個人資訊和相關元資料。這些資訊涉及最終用戶的姓名、使用該服務的公司的姓名,以及客戶的帳單地址、電子郵件、IP 地址和電話號碼。
不幸的是,被盜的資訊不止於此。事實上,駭客還可以設法備份客戶保險箱中的資料。它們特別包含加密數據,例如網站識別碼和密碼、相關網站的 URL 以及安全說明和表單數據。
LastPass 執行長 Karim Toubba 指出資料保持安全:
«這些加密欄位透過 256 位元 AES 加密保持安全,並且只能使用我們的零知識架構從每個使用者的主密碼派生的唯一加密金鑰進行解密。 »
提醒一下,這個架構意味著 LastPass 既不知道主密碼,也不由公司儲存。因此,資料加密和解密是在裝置層級完成的,而不是在伺服器層級完成的。
LastPass 正在採取新的安全措施(您也是)
在這次大規模資料外洩之後,LastPass 決定停止駭客可以存取的正在進行的開發工作,並從頭開始,以加強其安全性。所有可能受此駭客攻擊影響的憑證和憑證也已停止服務。
因此,用戶資料目前是安全的,需要新的大量資料駭客才能解密並將其用於惡意目的。不幸的是,鑑於駭客的聰明才智,不能排除這種情況。
如果您是 LastPass 用戶,我們只能建議您更改主密碼以及保險箱中的所有密碼。請務必使用強密碼而且足夠長,由數字、字母和特殊字元組成。最好的密碼管理器可以自動產生它們。
如果您收到來自 LastPass 的電子郵件,也要格外警惕,這可能是惡意行為者試圖恢復您的敏感資訊的網路釣魚嘗試。
來源 : 最後通行證
