官方截圖:2022年12月22日在LastPass社區公告安全事件通知 (及官方公告網址)
https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/
官方說:我們最近通知您,未經授權的一方獲得了對第三方雲存儲服務的訪問權限,LastPass 使用該服務存儲我們生產數據的存檔備份。為了遵守我們對透明度的承諾,我們希望向您提供有關我們正在進行的調查的最新信息。
他們用來存儲用戶密碼的伺服器,已經被駭客入侵了。
官方說:到目前為止,我們已經確定,一旦獲得云存儲訪問密鑰和雙存儲容器解密密鑰,威脅行為者就會從備份中復制信息,其中包含基本客戶賬戶信息和相關元素,包括公司名稱、最終用戶名稱、賬單地址、客戶訪問 LastPass 服務時使用的電子郵件地址、電話號碼和 IP 地址。
而且從以上這段話可以看出,駭客已經複製了他所有的資料,其中包含用戶的帳戶和相關元素,這相關元素其實就是密碼,而且更要命的是他裡面包含公司名稱、用戶名字、帳單地址、用戶登入Lastpass時用的電子郵件地址、用戶電話號碼、IP地址。這些資料的洩露足已讓駭客以後對用戶發起更為廣範,而且是更為嚴重的釣魚攻擊。
所以如果您收到一些莫名其妙的電郵,那麼您千萬要小心,很可能是駭客對您精心設計的陷阱。
官方說:這些加密字段通過 256 位 AES 加密保持安全,並且只能使用我們的零知識架構從每個用戶的主密碼派生的唯一加密密鑰解密。提醒一下,LastPass永遠不知道主密碼,也不會由 LastPass 存儲或維護。
Lastpass出事了!在LastPass社區公告通知中又說了:以上安慰Lastpass用戶的唬爛話。他的意思就是用戶密碼仍受帳戶主密碼保護,但是他們的密碼保險箱都被搬走了。
LastPass在8月份就發現異常了,但他們說:他們不相信用戶資料被駭了。過了4個月以後,他們才正式公布他們存儲密碼的伺服器已經遭到駭客入侵所有密碼已被打包走了,如果您只看的8月、9月、11月公布的信息,當時他說用戶密碼是安全的,他們說駭客只獲取了用戶某些登入權限,但通過最近的公告可證實"相關元素"就是LastPass最重要的資料。
如果您使用LastPass存儲過重要網站密碼的話,務必要修改那些存儲過的密碼,尤其是涉及線上支付密碼的網站,一定要立即修改。
謝謝收看
留言列表
