2022年8月的LastPass漏洞给该公司及其一些用户带来了潜在的灾难性后果:攻击者带走了未加密的客户数据和客户保险库数据的备份副本。
这个消息来得不是时候,因为企业正在减少活动,员工和用户正在为年底假期做最后的准备。
LastPass漏洞导致客户保险库备份被盗
LastPass是同名密码管理器背后的公司,今年早些时候遭受了一次入侵,导致攻击者访问其第三方基于云的存储环境。
LastPass首席执行官解释说:虽然在2022年8月的事件中没有访问客户数据,但一些源代码和技术信息从我们的开发环境中被盗,并用于针对另一名员工,获得用于访问和解密基于云的存储服务中的一些存储卷的凭据和密钥。
一旦攻击者获得云存储访问密钥和双存储容器解密密钥,他们就会从包含客户帐户信息和相关元数据的备份中复制信息,包括:
公司名称
最终用户名称
账单地址
电子邮件地址
电话号码
客户访问LastPass服务的IP地址
威胁参与者还能够从加密的存储容器中复制客户保险库数据的备份,该存储容器以专有的二进制格式存储,其中既包含未加密的数据,如网站URL,也包含完全加密的敏感字段,如网站用户名和密码、安全注释和填写表格的数据。
这些加密的字段通过256位AES加密保持安全,并且只能通过使用我们的零知识架构从每个用户的主密码中获得的唯一加密密钥进行解密。
提醒一下,LastPass永远不知道主密码,LastPass也不会存储或维护主密码。数据的加密和解密仅在本地LastPass客户端上执行。
他们没有说有多少客户的信息和保险库备份被窃取。
现在怎么办?
LastPass表示,如果用户遵循最佳安全实践:拥有12个以上字符的主密码,并且没有在其他账户上使用过它:当前的密码破解技术将使攻击者无处可破。
但是,如果他们没有,他们应该更改他们存储的网站密码。建议不使用LastPass联合登录服务的企业客户也这样做。虽然及时破解长而独特的密码很困难(但很昂贵),但更大的危险是社会工程攻击。
威胁参与者还可能针对与您的LastPass保管库相关联的在线帐户进行网络钓鱼攻击、凭证填充或其他暴力攻击。为了保护自己免受社会工程或网络钓鱼攻击,重要的是要知道LastPass绝不会打电话、发电子邮件或发短信给你,并要求你点击一个链接来验证你的个人信息。
除了从LastPass客户端登录你的保险库,LastPass永远不会要求你输入主密码。但这还不够!由于LastPass不加密网站URL,攻击者有足够的数据来发起假冒其他服务的有针对性的网络钓鱼活动。
他们知道用户的姓名、电子邮件地址和电话号码,以及他们使用的在线服务,因此用户应该在未来几天和几个月内警惕各种网络钓鱼企图。它们很可能是虚假的重置警报,很可能提到LastPass违规作为需要采取措施的原因,并很可能导致域名上看似合法的网站。
因此,不要跟随电子邮件中提供的链接,去访问服务的网站。
如果您是LastPass用户:尽早更改所有密码,尽可能启用双因素身份验证 。人们在安全笔记中存储各种信息:银行账户、加密货币账户、加密钱包数据;账户恢复短语/代码;支付卡PINs和其他敏感数据。
评估LastPass自动插入在线表单的安全笔记和数据的内容,并更改可以更改的内容。
改变你的主密码(使它长,复杂和独特) 对于不幸在其他网站上重复使用其主密码的LastPass用户来说,痛苦的事情是,这种情况现在是一种*离线*攻击。
这意味着2FA或更改一个人的LastPass web密码(甚至主密码)不会有太大帮助:攻击者有这些被盗保险库中所有凭据的时间点快照。
如果你在被盗时使用的是一个脆弱的(或者更糟的是,以前泄露过的)主密码,那你就完蛋了。
许多用户会对LastPass感到失望,并会寻找一个替代的密码管理器来存储他们的密码;甚至可能是一个不基于云的密码管理器(尽管这也有缺点,例如没有密码同步功能,这使得生活更加困难)。
LastPass表示,他们正在实施一系列额外的保护措施,但许多用户的信任可能已经不复存在。
另一个问题:对安全性知之甚少的非技术用户。他们可能很难适应使用另一个密码管理器,并且更容易受到网络钓鱼的攻击。
这不是一个容易解决的问题,它提醒人们,对一些人来说,技术性较低的解决方案有时可能是更好的选择。
使用LastPass的组织应该通过提醒用户注意网络钓鱼攻击的可能性来应对这种情况。