密码管理器巨头 LastPass 已确认网络犯罪分子在今年早些时候的一次数据泄露事件中窃取了其客户的加密密码保险库,该密码库存储了客户的密码和其他机密信息。
LastPass 首席执行官卡里姆·图巴 (Karim Toubba) 在一篇关于其披露的最新博客文章中表示,入侵者使用从 LastPass 员工那里窃取的云存储密钥,获取了客户保险库数据备份的副本。客户密码保险库的缓存以“专有二进制格式”存储,其中包含未加密和加密的保险库数据。未加密的数据包括保险库存储的网址,但 LastPass 没有说明更多或在什么情况下。目前尚不清楚被盗备份的时间有多近。
LastPass 表示,客户的密码库是加密的,只能用客户的主密码解锁,而主密码只有客户自己知道。但该公司警告说,入侵背后的网络犯罪分子“可能会尝试使用暴力破解你的主密码并解密他们获取的保险库数据副本。”
Toubba 说,网络犯罪分子还窃取了大量客户数据,包括姓名、电子邮件地址、电话号码和一些账单信息。
密码管理器绝对是用于存储密码的好东西,每个站点或服务的密码都应该是长的、复杂的和唯一的。但像这样的安全事件提醒我们,并非所有的密码管理器都是生而平等的,并且可能以不同的方式受到攻击或破坏。鉴于每个人的威胁模型都不同,没有人会有与其他人相同的要求。
在像这样罕见的情况下(不是拼写错误)——我们在分析 LastPass 的数据泄露通知时明确指出——如果坏人可以访问客户的加密密码库,“他们所需要的只是受害者的主密码。”暴露或泄露的密码库的强度取决于用于加密它的加密和密码。
作为 LastPass 客户,您可以做的最好的事情就是将您当前的 LastPass 主密码更改为一个新的唯一密码(或密码),并将其写下来并保存在安全的地方。这意味着您当前的 LastPass 保险库是安全的。
如果您认为您的 LastPass 密码保险库可能被泄露——例如如果您的主密码很弱或者您在其他地方使用过它——您应该开始更改存储在 LastPass 保险库中的密码。从最重要的帐户开始,例如您的电子邮件帐户、您的手机计划帐户、您的银行帐户和您的社交媒体帐户,然后在优先级列表中依次向下排列。
好消息是,任何受双因素身份验证保护的帐户都会使攻击者在没有第二个因素(例如电话弹出窗口或短信或电子邮件代码)的情况下更难访问您的帐户。这就是为什么首先保护这些第二因素帐户很重要,例如您的电子邮件帐户和手机计划帐户。
LastPass 称黑客窃取了客户的密码库作者: Zack Whittaker最初发表于TechCrunch
原文: https://techcrunch.com/2022/12/22/lastpass-customer-password-vaults-stolen/