LastPass承认严重数据泄露，加密密码库被盗

2022年8月LastPass的安全漏洞可能比该公司此前披露的更严重。

周四，这家颇受欢迎的密码管理服务公司透露，恶意行为者通过使用从早期入侵中提取的数据，获取了属于其客户的大量个人信息，其中包括他们的加密密码库。

该公司表示，被盗的还有“基本客户账户信息和相关元数据，包括公司名称、最终用户名称、账单地址、电子邮件地址、电话号码以及客户访问LastPass服务的IP地址”。

2022年8月的事件仍然是一项持续调查的主题，涉及不法分子通过一个被泄露的员工账户从其开发环境中访问源代码和专有技术信息。

LastPass表示，这使得身份不明的攻击者能够获取凭据和密钥，这些凭据和密钥随后被用来从存储在基于云的存储服务中的备份中提取信息，LastPass强调，云存储服务在物理上与生产环境是分开的。

除此之外，据说对手从加密存储服务中复制了客户保险库数据。它以“专有二进制格式”存储，既包含未加密的数据，如网站URL，也包含完全加密的字段，如网站用户名和密码、安全注释和表单填充数据。

该公司解释说，这些字段使用256位AES加密进行保护，只能使用从用户设备上的主密码派生的密钥进行解码。

LastPass确认，安全失效不涉及访问未加密的信用卡数据，因为这些信息没有存档在云存储容器中。

该公司没有透露备份的最新情况，但警告称，威胁者“可能会试图使用暴力手段猜测您的主密码，并解密他们获取的保险库数据副本”，以及使用社会工程和凭证填充攻击的目标客户。

值得注意的是，在这个阶段，预测主密码的暴力攻击的成功与它们的强度成反比，这意味着猜测密码越容易，破解密码所需的尝试次数就越少。

LastPass警告说：“如果您重复使用主密码，并且该密码曾经被泄露，威胁行为人可能会使用互联网上已经存在的泄露凭据转储来尝试访问您的帐户”。

网站URL是纯文本的事实意味着，成功解密主密码可以让攻击者了解特定用户持有的帐户所在的网站，从而使他们能够发起额外的网络钓鱼或凭证盗窃攻击。

该公司还表示，它通知了一小部分业务客户；其总计小于3%；根据其帐户配置采取某些未指定的操作。

在Okta承认威胁参与者未经授权访问其GitHub上托管的员工身份云（WIC）存储库并复制了源代码后几天，这一事态发展。