LastPass安全事故追踪:除主密码外用户其他信息如手机号等全部泄露
知名密码管理器 LastPass 此前因 Authy 员工被钓鱼而出现安全事故,这话听着有点绕口,大概是这么个情况:多因素认证器 Authy 员工收到钓鱼邮件后泄露了密码,黑客入侵了 Authy 的服务器窃取了 LastPass 工程师账户的 2FA,当然估计黑客也提前通过其他方式获取了这名工程师的账号密码,最终结果就是 LastPass 被黑了。
目前 LastPass 已经公布最新调查报告,不幸的是根据调查报告来看,此次安全事故潜在影响极大,用户除了主密码没泄露外其他信息基本都已经泄露。
LastPass 在报告中称:
我们目前的调查结果显示,黑客获取了 LastPass 在第三方云存储的访问密钥和双存储容器解密密钥,从 LastPass 的备份数据中复制了包含客户基本账户信息和相关元数据的信息。
包括用户的公司名称、最终用户名称、账单地址、电子邮件地址、手机号码、访问 LastPass 的 IP 地址。
更更糟糕的是用户密码库也被黑客复制,这个密码库指的是 LastPass 登录密码,并非用于解密用户其他密码数据的主密码。
黑客从加密存储容器中复制客户密码数据库的备份,这些属于使用专有的二进制格式存储,其中包含网站 URL 等未加密的数据,也包含网站用户名、密码、安全笔记、表格数据等完全加密的敏感字段数据。
这些数据使用 AES256 加密,在没有用户主密码的情况下仍然无法解密,考虑到 LastPass 并不存储用户主密码,所以存储在 LastPass 的其他网站密码依然是安全的。
目前 LastPass 建议所有用户立即更改自己的 LastPass 账户密码,如果可以的话蓝点网建议你把账号电子邮件也改了,因为后面肯定会收到大量钓鱼邮件。
用户需谨记 LastPass 不会通过电话或邮件询问你的主密码,请不要在除 LastPass 客户端外的任何地方填写你的主密码,方式是黑客的钓鱼邮件或钓鱼网站。
诚然此次安全事故直接原因是 Authy 引起的,但我们其实挺好奇为什么 LastPass 工程师账号密码泄露后怎么会导致这么多存储库密钥也泄露的,这让我们有点怀疑 LastPass 内部安全架构是否是合理的、是否有安全审计。