密碼管理工具 LastPass 首席執行長卡里姆・圖布巴(Karim Toubba)在今天更新的文章中表示,他們還在調查今年 11 月底遭到的網路安全攻擊,目前已經確認駭客竊取了使用者的姓名、地址、電子郵件、電話號碼等資訊。
根據他表示,目前的調查結果顯示,駭客獲得了雲端儲存訪問金鑰和雙儲存容器解密金鑰,從備份中複製了包含客戶基本帳戶資訊和相關中繼資料的資訊,其中包括公司名稱、終端使用者名稱、賬單地址、電子郵件地址、電話號碼,以及客戶進入 LastPass 服務的 IP 地址。
更糟糕的是,在本次安全事件中使用者的密碼庫也被駭客複製。
駭客能夠從加密儲存容器中複製客戶密碼庫資料的備份,這些資料以專有的二進制格式儲存,其中不僅包含如網站 URL 等未加密的資料,也包括網站使用者名稱和密碼、安全筆記和表格填寫資料在內的完全加密的敏感欄位。
這些加密欄位保持 256 位元 AES 加密的安全性,只有通過使用我們的零知識架構從每個使用者的主密碼中獲得的唯一加密金鑰才能解密。需要提醒的一點是,LastPass 永遠不會知道主密碼,LastPass 也不會儲存或維護這些密碼。
雖然使用者密碼庫仍然受到其主密碼的保護,但駭客可能會嘗試蠻力、網路釣魚或社會工程攻擊。因此,如果你曾使用過、或者目前仍在使用 LastPass,那麼推薦重新更改下密碼。
LastPass 表示,其調查仍在進行中,並 "致力於讓你瞭解我們的調查結果,並向你更新我們正在採取的行動以及你可能需要採取的任何行動"。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!