本周四,LastPass 就该服务去年 8 月经历的重大安全漏洞进行了新的披露。虽然几周前该公司还想让人放心,调查似乎出现了新的转折,这不应该让密码管理器的用户满意。
用户数据被大量复制
LastPass 针对该公司遭受的黑客攻击发起的调查正在取得进展。最初的版本报告了一位公司开发人员的黑客攻击,该黑客破坏了部分开发环境,泄露了“LastPass 的部分源代码和一些专有技术信息”。今天,我们得知泄漏会比那更大一点……
因此,LastPass 在一篇新博客文章中透露,黑客最终能够访问个人信息和相关元数据。这些信息涉及最终用户的姓名、使用该服务的公司的姓名,以及客户的帐单地址、电子邮件、IP 地址和电话号码。
不幸的是,被盗的信息并不止于此。事实上,黑客还可以设法备份客户保险箱中的数据。它们特别包含加密数据,例如网站标识符和密码、相关网站的 URL 以及安全说明和表单数据。
LastPass 首席执行官 Karim Toubba 指出数据保持安全:
«这些加密字段通过 256 位 AES 加密保持安全,并且只能使用我们的零知识架构从每个用户的主密码派生的唯一加密密钥进行解密。 »
提醒一下,这种架构意味着 LastPass 既不知道主密码,也不由公司存储。因此,数据加密和解密是在设备级别完成的,而不是在服务器级别完成的。
LastPass 正在采取新的安全措施(您也是)
在这次大规模数据泄露之后,LastPass 决定停止黑客有权访问的正在进行的开发工作,并从头开始,以加强其安全性。所有可能受此黑客攻击影响的凭据和证书也已停止服务。
因此,用户数据目前是安全的,需要新的大量数据黑客才能解密并将其用于恶意目的。不幸的是,鉴于黑客的聪明才智,不能排除这种情况。
如果您是 LastPass 用户,我们只能建议您更改主密码以及保险箱中的所有密码。请务必使用强密码并且足够长,由数字、字母和特殊字符组成。最好的密码管理器可以自动生成它们。
如果您收到来自 LastPass 的电子邮件,也要格外警惕,这可能是恶意行为者试图恢复您的敏感信息的网络钓鱼尝试。
来源 : 最后通行证
