LastPass 安全事件新動態(tài)：官方承認(rèn)黑客竊取了用戶姓名、地址、電話等信息

IT之家 12 月 23 日消息，密碼管理工具 LastPass 首席執(zhí)行官卡里姆?圖布巴（Karim Toubba）在今天更新的博文中表示，仍在調(diào)查今年 11 月底遭到的網(wǎng)絡(luò)安全攻擊，目前已經(jīng)確認(rèn)黑客竊取了用戶的姓名、地址、電子郵件、電話號碼等信息。

IT之家了解到，在這份博文中寫道：

我們目前的調(diào)查結(jié)果顯示，黑客獲得了云存儲訪問密鑰和雙存儲容器解密密鑰，從備份中復(fù)制了包含客戶基本賬戶信息和相關(guān)元數(shù)據(jù)的信息，其中包括公司名稱、最終用戶名稱、賬單地址、電子郵件地址、電話號碼，以及客戶訪問 LastPass 服務(wù)的 IP 地址。

更糟糕的是，在本次安全事件中用戶的密碼庫也被黑客復(fù)制。

黑客能夠從加密存儲容器中復(fù)制客戶密碼庫數(shù)據(jù)的備份，這些數(shù)據(jù)以專有的二進(jìn)制格式存儲，其中不僅包含如網(wǎng)站 URL 等未加密的數(shù)據(jù)，也包括網(wǎng)站用戶名和密碼、安全筆記和表格填寫數(shù)據(jù)在內(nèi)的完全加密的敏感字段。

這些加密字段保持 256 位 AES 加密的安全性，只有通過使用我們的零知識架構(gòu)從每個用戶的主密碼中獲得的唯一加密密鑰才能解密。需要提醒的一點(diǎn)是，LastPass 永遠(yuǎn)不會知道主密碼，LastPass 也不會存儲或維護(hù)這些密碼。數(shù)據(jù)的加密和解密只在本地 LastPass 客戶端進(jìn)行。關(guān)于我們的零知識架構(gòu)和加密算法的更多信息，請訪問這里。

雖然用戶密碼庫仍然受到其主密碼的保護(hù)，但黑客可能會嘗試蠻力、網(wǎng)絡(luò)釣魚或社會工程攻擊。因此，如果你曾使用過、或者目前仍在使用 LastPass，那么推薦重新更改下密碼。

LastPass 表示，其調(diào)查仍在進(jìn)行中，并 "致力于讓你了解我們的調(diào)查結(jié)果，并向你更新我們正在采取的行動以及你可能需要采取的任何行動"。

相關(guān)鏈接：

《和 8 月事件存在關(guān)聯(lián)，密碼管理工具 LastPass 再次出現(xiàn)數(shù)據(jù)泄露》

《LastPass 承認(rèn)被黑客竊取源碼，但未泄露用戶數(shù)據(jù)》

《LastPass 被黑客入侵，CEO 保證沒有用戶數(shù)據(jù)泄露》

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。