嗯,这很糟糕。近日,一名黑客侵入了LastPass的系统,导致该公司丢失了一份客户加密密码数据的副本。
在入侵过程中,黑客从加密存储容器LastPass中复制了“客户金库数据备份”,从而窃取了密码数据说(在新窗口打开)周四。
该公司在三周后提供了更新确认导致黑客窃取客户信息的漏洞。当时,尚不清楚有哪些用户数据被窃取,但现在LastPass透露,这次入侵已经非常严重了。
被盗的保险库数据包含“完全加密的敏感字段,如网站用户名和密码、安全备注和表单填充数据”,以及未加密的网站url。
LastPass强调被盗的金库数据仍然受到保护,因为它是256位安全的AES加密。要解密数据,黑客需要金库的主密码——只有客户才应该知道。该公司表示:“提醒一下,LastPass永远不会知道主密码,也不会存储或维护主密码。”
问题是黑客可以利用各种方法获取客户的主密码。这可能包括尝试通过使用穷举式攻击.然而,LastPass表示,如果客户使用复杂的密码,这将非常难以实现。作为一种安全措施,LastPass还要求主密码至少有12个字符长。
不过,黑客窃取主密码的另一种方法是网络钓鱼客户。这可能包括发送假冒的电子邮件或短信,假装是LastPass,试图欺骗毫无戒心的用户,让他们放弃登录凭证。
在入侵过程中,黑客还获得了“客户的基本账户信息”,包括电子邮件地址、电话号码、账单地址和IP地址,这使得罪犯很容易针对个人用户。
因此,为了防范此类网络钓鱼,LastPass告诉用户:“务必要知道,LastPass永远不会给你打电话、发邮件或发短信,要求你点击一个链接来验证你的个人信息。除了从LastPass客户端登录到您的金库时,LastPass永远不会要求您输入主密码。”
黑客首先窃取了该公司的源代码和技术数据,从而得以侵入LastPass回来8月。被盗的信息随后为罪犯入侵LastPass员工并获取他们的凭证和安全密钥以访问该公司基于云的存储服务的文件铺平了道路。
基于云的存储与LastPass的生产IT系统是分开运行的。尽管如此,它包含了公司数据的备份。
作为对此次攻击的回应,LastPass表示,他们重置了整个公司的所有企业登录凭证。该公司表示:“我们还在对我们云存储服务中有任何可疑活动迹象的每个账户进行详尽的分析,在这个环境中增加额外的安全措施。”
即便如此,这次黑客攻击仍有可能破坏人们对美国政府的信心密码管理器提供者。LastPass告诉客户,如果他们的主密码很复杂,他们不需要采取任何建议措施最佳实践(在新窗口打开).但为了更加安全,受影响的用户可以考虑更改存储在保险库中的任何关键密码,并打开双因素身份验证通过适用的互联网帐户。