LastPass用户:黑客现在拥有您的信息和密码保险库数据密码和保险库中的其他数据。上周四宣布的新消息也代表了对最初于今年8月披露的LastPass漏洞的重大更新。当时,该公司表示,恶意黑客通过受感染的开发者帐户未经授权访问了部分产品开发环境,并获得了“一些源代码和一些关于LastPass的专有技术信息”。该公司当时表示,客户的主密码、加密密码、个人信息和存储在账户中的其他数据没有受到影响。加密和未加密的敏感数据均被复制在上周四的更新中,该公司表示黑客访问了个人信息和相关元数据,包括企业名称、最终用户名、账单地址、电子邮件地址、电话号码和客户用于访问的IP地址最后通行证服务。黑客还复制了客户保险库的数据备份,其中包含网站URL等未加密数据,以及网站用户名/密码、安全说明和表单数据等加密字段。LastPass首席执行官KarimToubba写道:“这些加密字段采用256位AES加密,根据我们的零知识架构,只能通过从每个用户的主密码派生的唯一加密密钥来解密。”是为了强调该公司采用的强大的高级加密方案,所谓零知识是指服务提供商本身无法解密存储的内容。首席执行官进一步补充说:“提醒一下,LastPass永远不知道主密码的内容,LastPass也不会存储或维护它们。数据的加密和解密仅在本地LastPass客户端上执行。”本次更新提到,在迄今为止的调查中,该公司没有发现未加密的信用卡数据被访问的迹象。LastPass不存储完整的信用卡数据,信用卡相关信息保存在与恶意黑客访问的云存储环境不同的环境中。8月份的披露还指出,黑客窃取LastPass源代码和专有技术信息的方法似乎与Twilio的另一次违规行为有关。Twilio是一家位于旧金山的双因素身份验证和通信服务提供商。在Twilio漏洞中,黑客窃取了163位客户的数据。LastPass是至少136家受到攻击Twilio的网络钓鱼者损害的其他企业之一。周四的更新称,恶意黑客可能利用从LastPass窃取的源代码和技术信息对一名LastPass员工发起后续攻击,从而获得安全凭证和密钥来访问和解密该公司存储在云存储服务中的A存储卷.Toubba解释说:“到目前为止,我们已经确定,只要获得云存储访问密钥和双存储容器解密密钥,黑客就可以从备份中复制信息,包括客户账户基本信息和相关元数据,例如企业名称、最终用户姓名、帐单地址、电子邮件地址、电话号码和客户访问LastPass服务的IP地址。黑客还可以从加密存储容器中复制客户保险库数据的备份。该备份存储在专有二进制文件中包含未加密数据(例如网站URL)和完全加密的敏感字段(例如网站用户名密码、安全说明和表单数据)的格式。”LastPass的代表没有回应关于有多少客户数据被黑客复制的评论请求。立即加强安全性周四的更新还列出了LastPass在数据泄露后为加强安全性而采取的几项补救措施。这包括停用被黑的开发代码、从头开始重建、保留托管端点检测和响应服务,以及轮换所有可能受影响的凭据和证书。鉴于LastPass存储的数据的敏感性,如此庞大的个人数据落入黑客之手当然令人担忧。同样令人担忧的是,用户保险库现在也已被黑客窃取。虽然破解加密哈希需要大量资源,但理论上仍有可能性。对于精心策划这次袭击的黑客来说,破解数据内容恐怕只是意志的问题。因此,LastPass客户应更改其主密码和存储在其保管库中的所有密码,并修改LastPass的默认设置。默认设置使用基于密码的密钥派生函数(PBKDF2)进行100100次迭代,从而对存储的密码进行哈希处理。这种散列方法可确保难以破解唯一的、随机生成的长主密码。但需要注意的是,100100的迭代次数远低于OWASP推荐的次数。OWASP推荐LastPass使用PBKDF2和SHA256哈希算法,并将迭代阈值提高到310,000。无论您是否是LastPass用户,我都鼓励您在HaveIbeenPwned?上创建一个帐户。尽快查明您是否受到安全漏洞的影响。最后,LastPass用户还应格外警惕声称来自LastPass或其他具有敏感数据的服务的网络钓鱼电子邮件和电话,尤其是利用泄露的个人数据的在线诈骗。LastPass对于采用联动登录服务的企业客户也有更具体的建议。
