LastPass 在三個月內第二次遭到黑客攻擊。 全世界有超過 30 萬人使用它。 密碼管理器 LastPass 承認黑客竊取了用戶密碼和其他敏感數據的加密副本,包括用戶的賬單地址、電話號碼和 IP 地址。 起初,該系統於 月被黑客入侵, 月底 - 月初,出現了有關哪些數據被盜的信息,現在該公司的博客已經公佈了詳細信息。
密碼管理器 LastPass 已被黑客入侵,這對黑客本身來說是非常成功的,他們設法獲取了用戶的數據,但尚不清楚具體是什麼。 他們現在很可能可以訪問服務用戶存儲在其配置文件中的密碼。
有關 LastPass 黑客攻擊和用戶數據洩露的信息也得到了服務本身代表的確認。 然而,他們小心翼翼地隱藏了洩漏的程度和最終落入攻擊者手中的信息的性質,因此目前全球數百萬的 LastPass 用戶無一例外都處於危險之中。 據 EarthWeb 門戶網站稱,截至 2022 年 33 月,LastPass 用戶群達到 萬人。
在材料發佈時,LastPass 代表沒有確認,但也沒有否認用戶個人在線存儲中的密碼洩露。 但是,存在黑客攻擊導致這種結果的風險。 此外,考慮到 LastPass 在其存在的 14 年中不止一次允許密碼被洩露,這種情況下的風險很高。
我該怎麼辦?
用戶需要做的第一件事是查看哪些密碼存儲在雲中,並在攻擊者專門獲取它們之前盡快更改它們。 例如,許多人將網上銀行或公司電子郵件的密碼保存在此類管理器中。
第二步是從那些離線工作的密碼管理器中找到,如果不是 LastPass 的替代品,那麼至少是一個備份密碼管理器。 此類程序將密碼數據庫直接存儲在用戶的設備上(通常以加密形式),這大大降低了其內容洩露的風險。
密碼管理器允許用戶將他們的用戶名和密碼存儲在一個地方的不同站點上——使用用戶創建的主密碼訪問。 Last Pass 不會存儲或處置主密碼。 其他加密數據只能使用“從用戶的主密碼中獲得的唯一加密密鑰”來檢索。 然而,該公司警告客戶,他們可能成為社交工程、網絡釣魚和其他獲取信息方法的受害者。 此外,黑客可以使用暴力破解來獲取主密碼並解密位於加密存儲中的其他數據。 然而,LastPass 聲稱攻擊者需要“數百萬年”才能使用公開可用的黑客技術來猜測密碼。
該公司表示,提供網絡安全的公司 Mandiant 正在調查此事件,而 LastPass 本身正在完全重建整個工作環境——這間接表明黑客獲得了重要的代碼和其他數據。
LastPass 還表示,調查正在進行中,公司已將此事通知執法部門和相關監管機構。 她本人建議用戶將主密碼設置為不少於 12 個字符,更改基於密碼的密鑰派生函數 (PBKDF2) 密鑰生成標準的設置,當然也不要在其他網站上使用主密碼。 給出了更詳細的當前建議 在服務博客中.