LastPass 今年第二次成为安全漏洞的受害者。这次涉及的是其“云”存储,该公司与其子公司 GoTo 共享该存储,该存储已受到损害。
一年内两次违规
去年8月,正是一个开发者帐户允许黑客访问LastPass开发环境。该公司随后向客户发送电子邮件,确认攻击者确实窃取了源代码,同时还窃取了与系统相关的技术信息。
几周后,LastPass 分享了有关此事的详细信息,表明黑客在被踢出系统之前设法保持了对系统的访问权限四天。今天,LastPass 首席执行官卡里姆·图巴 (Karim Toubba) 再次报道了此案。他表示,该公司能够确定黑客利用之前黑客攻击的信息获取了用户数据的访问权限。
“根据 2022 年 8 月事件中获得的信息,我们确定未经授权的第三方访问了我们客户信息的某些元素。 »
黑客将无法访问存储的密码
在表示黑客已侵入该公司与 GoTo 共享的在线存储后,LastPass 希望在沟通中保持安心。尽管攻击者获得了对存储在服务上的客户数据的访问权限,但该公司确保密码没有被泄露,并且他们“利用 LastPass 的零知识架构保持安全加密”。
我们最近在第三方云存储服务中检测到异常活动,该服务目前由 LastPass 及其附属机构 GoTo 共享。由于 LastPass 的零知识架构,客户密码保持安全加密。更多信息:https://t.co/xk2vKa7icq pic.twitter.com/ynuGVwiZcK
— LastPass (@LastPass)2022 年 11 月 30 日
零知识技术意味着只有用户知道他们的主密码,并且它在设备级别而不是服务器级别进行加密。
该公司还表示,它聘请了安全公司 Mandiant 来调查这一事件,并向执法部门通报了此次攻击:“我们正在努力了解事件的范围并确定所访问的具体信息”。
图巴指定服务仍然存在“功能齐全”尽管有违规行为。最后通行证是今天密码管理软件之一全球最受欢迎,声称拥有超过 3300 万用户和 10 万家企业使用其服务。
密码的问题
除了服务器端安全漏洞之外,用户经常选择糟糕的密码不能提供足够的安全级别来防止黑客攻击。密码管理器和科技巨头打算为了利益而取代的一个基本问题“密钥”或“访问密钥”。
这种保护在线帐户的新方法将允许用户更轻松(更安全)地登录其网站和应用程序,无论他们选择什么平台。这项技术应该会在 2023 年获得发展势头,但需要时间才能被用户理解和接受。在那之前,我们强烈建议您阅读我们的文件以了解如何正确管理您的密码。
来源 : 最后通行证
