嗯,这很糟糕。最近,一名黑客入侵了LastPass公司的系统,导致该公司丢失了一份客户加密密码数据的副本。
在入侵期间,黑客通过从加密存储容器LastPass中复制“客户保险库数据备份”,窃取了密码数据说(在新窗口中打开)周四。
该公司在三周后提供了更新确认导致黑客窃取客户信息的漏洞。当时,还不清楚哪些用户数据被捕获,但现在LastPass透露,这一漏洞几乎是最严重的。
被盗的保险库数据包含“完全加密的敏感字段,如网站用户名和密码、安全注释和填写表单的数据”,以及未加密的网站url。
LastPass强调,被盗的保险库数据仍然受到保护,因为它已被256位保护AES加密。为了解密数据,黑客需要金库的主密码——只有客户应该知道的东西。该公司表示:“提醒一下,LastPass从来不知道主密码,LastPass也不存储或维护主密码。”
问题是,黑客可以利用各种方法获得客户的主密码。这可能涉及到尝试通过使用穷举式攻击。然而,LastPass表示,如果客户使用了复杂的密码,这将难以实现。作为一项安全措施,LastPass还要求主密码长度至少为12个字符。
不过,黑客窃取主密码的另一种方法是通过网络钓鱼客户。这可能包括发送虚假的电子邮件或短信,假装是LastPass,试图欺骗毫无戒心的用户放弃登录凭证。
在入侵过程中,黑客还获得了“基本客户账户信息”,包括电子邮件地址、电话号码、账单地址和IP地址,这使得罪犯很容易瞄准个人用户。
因此,为了防范此类网络钓鱼,LastPass告诉用户:“重要的是要知道,LastPass永远不会打电话、发电子邮件或发短信给你,并要求你点击链接来验证你的个人信息。除了从LastPass客户端登录到您的保险库时,LastPass永远不会要求您提供主密码。”
这名黑客首先窃取了LastPass公司的源代码和技术数据,从而得以渗透进该公司回来8月。被盗的信息随后为罪犯入侵LastPass员工铺平了道路,并解除了他们的凭据和安全密钥,从该公司的云存储服务中访问文件。
基于云的存储与LastPass的生产IT系统是分开运行的。然而,它包含了公司数据的备份。
作为对这一漏洞的回应,LastPass表示,它重置了整个公司的所有企业登录凭据。该公司表示:“我们还在对我们云存储服务中存在任何可疑活动迹象的每个账户进行详尽分析,并在这个环境中增加了额外的保护措施。”
即便如此,这次黑客攻击仍有可能削弱人们对欧盟的信心密码管理器提供者。LastPass告诉客户,如果他们的主密码很复杂,那么不需要采取任何措施最佳实践(在新窗口中打开)。但为了更安全,受影响的用户可以考虑更改存储在保险库中的任何关键密码,并打开双因素身份验证通过适用的Internet帐户。