CZ:密码管理器LastPass遭遇泄露,用户需要确保已启用2FA双因子验证
“密码神器”LastPass官方承认:用户隐私数据被黑客窃取
据币安首席执行官CZ在社交媒体透露密码管理器LastPass遭遇泄露问题,CZ称自己曾在博客文章中推荐过这个密码管理器。据LastPass称本次问题对客户密码没有影响,因为客户需要自己在客户端加密,但黑客目前已经拥有了用户信息,包括未加密的电子邮件地址和网站URL。尽管LastPass随后提供了更新,但CZ仍提示如果重复使用主密码的密码或主密码较弱,则黑客有可能获得所有凭据,另外用户需要确保已启用2FA双因子验证。据此前报道,LastPass于今年八月部分源码泄露。密码巨头LastPass数据遭泄露,黑客得手却很无奈
11月30日,世界最大的密码管理软件之一LastPass 表示,有黑客在侵入系统后窃取了部分数据信息。
这些被窃取的数据很重要。LastPass 服务的企业超10万家,LastPass 是帮助用户存储和记录密码的软件,在它的服务器里理所当然地会保存有大量的用户密码。它们可能是手机锁屏密码、或公司电脑的开机密码,也可能是银行卡密码、游戏登录账密、医疗账户、社交软件登录、系统访问凭证等。
LastPass 已经确认,此次黑客能够顺利侵入服务器,是因为黑客在今年8月通过一个受感染的开发人员账户访问了LastPass 的开发环境,并窃取了LastPass的部分源代码和专有技术信息,并借此获得了对数据的访问权限。
这不是黑客想要的结果!
然而," 得手 " 后的黑客在欣喜若狂打开他们窃取到的文件时,映入眼帘的并不是能够 " 发家致富 " 的大量账号密码,而是一串串完全不知所云的乱码。一群黑客费劲心思获得的数据,竟然毫无意义。
这归功于LastPass 以为傲的 " 零知情 "(Zero Knowledge)架构。
LastPass首席执行官表示,由于LastPass采用了零知情架构,虽然出现了数据泄露,但用户的密码数据仍然是安全加密的。
" 零知情 "架构?
零知情架构是,对用户密码的加密发生在设备层面而非服务器层面,这使得单纯的侵入服务器并不会导致主密码泄露。
简单来说,LastPass的零知情架构是对所有的账号、密码进行高度加密运算,而其加密密钥的生成以及整个加密运算过程,都是在用户的本地设备上进行的。首先上传、储存的信息都是加密后的数据;其次加密密钥是在用户的设备上随机生成的,而并非事先设定好的。
此次事件当中,LastPass 服务器被攻破需要承担责任,毕竟服务器数据泄露是事实。但,零知情架构成功阻止了黑客获取有用数据也是事实。
LastPass 有一个关于最近数据泄露的更新公告:该公司承诺将您的所有密码保存在一个安全的地方,现在说黑客能够“复制客户保险库数据的备份”,这意味着他们理论上,如果他们能够破解被盗的保险库,现在就可以访问所有这些密码。
如果您有一个用于在 LastPass 上存储密码和登录信息的帐户,或者您曾经有一个帐户并且在今年秋天之前没有删除它,那么您的密码库可能落入了黑客的手中。不过,该公司声称,如果您拥有强大的主密码及其最新的默认设置,您可能是安全的。然而,如果你的主密码较弱或安全性较低,该公司表示,“作为一项额外的安全措施,你应该考虑通过更改你存储的网站密码来最大限度地降低风险。”
这可能意味着更改您信任 LastPass 存储的每个网站的密码。
虽然 LastPass 坚称密码仍受帐户主密码保护,但考虑到它处理这些披露的方式,目前很难相信它的话。
当该公司在 8 月宣布遭到破坏时,它表示不相信用户数据已被访问。然后,在 11 月,LastPass 表示它检测到入侵,这显然依赖于 8 月事件中被盗的信息(如果在 8 月到 11 月之间的某个时候听到这种可能性会很高兴)。这种入侵让某人“获得对客户信息的某些元素的访问权”。事实证明,那些“特定元素”是 LastPass 存储的最重要和最机密的东西。该公司表示,“没有证据表明任何未加密的信用卡数据被访问过”,但这可能比黑客实际逃脱的结果更可取。至少取消一两张卡很容易。
从云存储中复制了客户保险库的备份
稍后我们将了解这一切是如何发生的,但这是 LastPass 首席执行官卡里姆·图巴 (Karim Toubba) 对金库被盗的看法:
威胁行为者还能够从加密存储容器中复制客户保险库数据的备份,该存储容器以专有二进制格式存储,其中包含未加密数据(例如网站 URL)以及完全加密的敏感字段(例如网站用户名)和密码、安全说明和填表数据。
Toubba 说,恶意行为者能够获取加密数据以及您的密码的唯一方法是使用您的主密码。LastPass 表示它从未访问过主密码。
这就是为什么他说,“尝试暴力破解主密码是极其困难的,”只要你有一个你从未重复使用的非常好的主密码(并且只要在这个过程中没有任何技术缺陷) LastPass 对数据进行了加密——尽管该公司之前犯过一些非常基本的安全错误)。但是任何拥有这些数据的人都可以尝试通过猜测随机密码来解锁它,也就是暴力破解。
LastPass 表示,使用其推荐的默认设置应该可以保护您免受此类攻击,但它没有提到任何类型的功能可以防止某人在数天、数月或数年内反复尝试解锁保险库。人们的主密码也有可能通过其他方式访问——如果有人重复使用他们的主密码进行其他登录,它可能在其他数据泄露期间泄露。
还值得注意的是,如果您有一个较旧的帐户(在 2018 年后引入较新的默认设置之前),则可能已使用较弱的密码强化过程来保护您的主密码。根据 LastPass 的说法,它目前使用“基于密码的密钥派生函数的 100,100 次迭代的比典型实施更强大”,但是当Verge工作人员使用公司在其博客中包含的链接检查他们的旧帐户时,它告诉他们的帐户设置为 5,000 次迭代。
也许更令人担忧的一点是未加密的数据——鉴于它包含 URL,它可以让黑客知道你在哪些网站上有帐户。如果他们决定以特定用户为目标,那么在与网络钓鱼或其他类型的攻击相结合时,这可能是强大的信息。
如果我是 LastPass 客户,我不会对公司披露此信息的方式感到满意
虽然这些都不是好消息,但从理论上讲,任何在云中存储机密的公司都可能发生这种情况。在网络安全领域,游戏名称并没有 100% 完美的记录;这就是您在灾难发生时的反应方式。
在我看来,这就是 LastPass 完全失败的地方。
请记住,它是在今天,即 12 月 22 日——圣诞节前三天发布此公告的,此时许多 IT 部门将大部分休假,而且人们不太可能关注密码管理器的更新。
(此外,公告直到. 中的五段才涉及到有关被复制的保险库的部分。虽然一些信息是粗体的,但我认为可以公平地期望这样一个重要的公告会出现在最上面。)
LastPass 表示,保险库备份最初并未在 8 月遭到破坏;相反,它的故事是威胁行为者使用该漏洞中的信息来瞄准有权访问第三方云存储服务的员工。保险库存储在该云存储中访问的其中一个卷中并从中复制,连同包含“基本客户帐户信息和相关元数据”的备份。据 LastPass 称,这包括“公司名称、最终用户名称、账单地址、电子邮件地址、电话号码以及客户访问 LastPass 服务的 IP 地址”等内容。