全球熱消息：LastPass 安全事件新動(dòng)態(tài)：官方承認(rèn)黑客竊取了用戶姓名、地址、電話等信息

2022-12-23 07:02:30|

來源：IT之家作者：

IT之家 12 月 23 日消息，密碼管理工具 LastPass 首席執(zhí)行官卡里姆?圖布巴（Karim Toubba）在今天更新的博文中表示，仍在調(diào)查今年 11 月底遭到的網(wǎng)絡(luò)安全攻擊，目前已經(jīng)確認(rèn)黑客竊取了用戶的姓名、地址、電子郵件、電話號(hào)碼等信息。

(資料圖片)

IT之家了解到，在這份博文中寫道：

我們目前的調(diào)查結(jié)果顯示，黑客獲得了云存儲(chǔ)訪問密鑰和雙存儲(chǔ)容器解密密鑰，從備份中復(fù)制了包含客戶基本賬戶信息和相關(guān)元數(shù)據(jù)的信息，其中包括公司名稱、最終用戶名稱、賬單地址、電子郵件地址、電話號(hào)碼，以及客戶訪問 LastPass 服務(wù)的 IP 地址。
更糟糕的是，在本次安全事件中用戶的密碼庫也被黑客復(fù)制。
黑客能夠從加密存儲(chǔ)容器中復(fù)制客戶密碼庫數(shù)據(jù)的備份，這些數(shù)據(jù)以專有的二進(jìn)制格式存儲(chǔ)，其中不僅包含如網(wǎng)站 URL 等未加密的數(shù)據(jù)，也包括網(wǎng)站用戶名和密碼、安全筆記和表格填寫數(shù)據(jù)在內(nèi)的完全加密的敏感字段。
這些加密字段保持 256 位 AES 加密的安全性，只有通過使用我們的零知識(shí)架構(gòu)從每個(gè)用戶的主密碼中獲得的唯一加密密鑰才能解密。需要提醒的一點(diǎn)是，LastPass 永遠(yuǎn)不會(huì)知道主密碼，LastPass 也不會(huì)存儲(chǔ)或維護(hù)這些密碼。數(shù)據(jù)的加密和解密只在本地 LastPass 客戶端進(jìn)行。關(guān)于我們的零知識(shí)架構(gòu)和加密算法的更多信息，請?jiān)L問這里。

雖然用戶密碼庫仍然受到其主密碼的保護(hù)，但黑客可能會(huì)嘗試蠻力、網(wǎng)絡(luò)釣魚或社會(huì)工程攻擊。因此，如果你曾使用過、或者目前仍在使用 LastPass，那么推薦重新更改下密碼。

LastPass 表示，其調(diào)查仍在進(jìn)行中，并 "致力于讓你了解我們的調(diào)查結(jié)果，并向你更新我們正在采取的行動(dòng)以及你可能需要采取的任何行動(dòng)"。

相關(guān)鏈接：

《和 8 月事件存在關(guān)聯(lián)，密碼管理工具 LastPass 再次出現(xiàn)數(shù)據(jù)泄露》

《LastPass 承認(rèn)被黑客竊取源碼，但未泄露用戶數(shù)據(jù)》

《LastPass 被黑客入侵，CEO 保證沒有用戶數(shù)據(jù)泄露》

標(biāo)簽： LastPass