全球熱消息：LastPass 安全事件新動態(tài)：官方承認黑客竊取了用戶姓名、地址、電話等信息

2022-12-23 07:02:30|

來源：IT之家作者：

IT之家 12 月 23 日消息，密碼管理工具 LastPass 首席執(zhí)行官卡里姆?圖布巴（Karim Toubba）在今天更新的博文中表示，仍在調查今年 11 月底遭到的網(wǎng)絡安全攻擊，目前已經(jīng)確認黑客竊取了用戶的姓名、地址、電子郵件、電話號碼等信息。

(資料圖片)

IT之家了解到，在這份博文中寫道：

我們目前的調查結果顯示，黑客獲得了云存儲訪問密鑰和雙存儲容器解密密鑰，從備份中復制了包含客戶基本賬戶信息和相關元數(shù)據(jù)的信息，其中包括公司名稱、最終用戶名稱、賬單地址、電子郵件地址、電話號碼，以及客戶訪問 LastPass 服務的 IP 地址。
更糟糕的是，在本次安全事件中用戶的密碼庫也被黑客復制。
黑客能夠從加密存儲容器中復制客戶密碼庫數(shù)據(jù)的備份，這些數(shù)據(jù)以專有的二進制格式存儲，其中不僅包含如網(wǎng)站 URL 等未加密的數(shù)據(jù)，也包括網(wǎng)站用戶名和密碼、安全筆記和表格填寫數(shù)據(jù)在內的完全加密的敏感字段。
這些加密字段保持 256 位 AES 加密的安全性，只有通過使用我們的零知識架構從每個用戶的主密碼中獲得的唯一加密密鑰才能解密。需要提醒的一點是，LastPass 永遠不會知道主密碼，LastPass 也不會存儲或維護這些密碼。數(shù)據(jù)的加密和解密只在本地 LastPass 客戶端進行。關于我們的零知識架構和加密算法的更多信息，請訪問這里。

雖然用戶密碼庫仍然受到其主密碼的保護，但黑客可能會嘗試蠻力、網(wǎng)絡釣魚或社會工程攻擊。因此，如果你曾使用過、或者目前仍在使用 LastPass，那么推薦重新更改下密碼。

LastPass 表示，其調查仍在進行中，并 "致力于讓你了解我們的調查結果，并向你更新我們正在采取的行動以及你可能需要采取的任何行動"。

相關鏈接：

《和 8 月事件存在關聯(lián)，密碼管理工具 LastPass 再次出現(xiàn)數(shù)據(jù)泄露》

《LastPass 承認被黑客竊取源碼，但未泄露用戶數(shù)據(jù)》

《LastPass 被黑客入侵，CEO 保證沒有用戶數(shù)據(jù)泄露》

標簽： LastPass