2022 年末,最后通行证被针对两次网络攻击。经过调查发现,这两起入侵事件之间存在关联。通过这种组合攻击,网络犯罪分子成功窃取了 LastPass 用户的大量数据。最重要的是,黑客起飞了备份加密密钥用户保险箱。
指出他的疏忽,LastPass 已采取行动提高密码管理器的安全性。发布者现在强制其用户配置包含至少 12 个字符的主密码。 LastPass 还希望确保为其所有客户正确配置双重身份验证。
最终加密的URL地址
最近,密码管理器宣布对所有 URL 进行加密存储在客户的保险箱中。在 2024 年 5 月 22 日发布的新闻稿中,LastPass 解释说,它可以“安全加密保管库中所有与 URL 相关的字段,不会产生任何不良的用户体验。”当用户访问网站时,LastPass 会检查该网站的 URL 并将其与用户密码库中存储的 URL 进行比较。如果 LastPass 找到匹配项,它将自动填写凭据(即用户名和密码)以登录该站点。
自 2008 年推出以来,LastPass 并未对存储的 URL 进行加密。为了解释这一失败,该公司将矛头指向当时的技术限制。十六年前,不可能在不降低服务性能的情况下加密所有地址。该过程需要大量的计算能力和内存。面对这些“IT 限制”,LastPass放弃了加密URL的想法。随着时间的推移,限制消失了,允许发布者添加加密。
潜在敏感信息
此外,出版商保证其已“投入了大量的时间和精力来加强我们的安全”期间“过去 18 个月”。因此,这是对 2022 年底遭受的网络攻击的新回应。在入侵过程中,攻击者实际上设法窃取未加密的 URL 列表存放在客户的保险箱中。该地址列表为希望利用窃取的信息策划其他攻击的黑客提供了有价值的信息。
正如 LastPass 所指出的,URL“包含与您存储的凭据相关的帐户性质的详细信息(例如银行、电子邮件、社交媒体)”。显然,黑客直接知道如果成功解密密码,他们必须攻击哪些服务。此外,事实证明 LastPass 黑客攻击导致多个加密货币钱包被黑客入侵。网络安全专家布莱恩·克雷布斯 (Brian Krebs) 表示,3500万美元的加密货币也被盗感谢从 LastPass 窃取的数据。
这就是发布者竭尽全力添加URL加密的原因。这项措施应该允许“提高保密性”新闻稿称,LastPass 客户的数量。加密将完成分几个阶段。最初,LastPass 将在 2024 年 7 月左右进行加密“自动将现有帐户以及任何新帐户的主 URL 字段存储在其保管库中。”然后,密码管理器将在下半年对剩余的地址字段进行加密。 LastPass 指定用户无需执行任何操作即可从这种改进的安全性中受益。
来源 : 最后通行证
