8 月的 LastPass 駭客攻擊比宣傳的更為嚴重。然而(顯然)沒有解密資料被盜。
密碼管理器在 8 月遭遇多年來第二次駭客攻擊後,最後通行證宣布最近一次入侵終於比最初報道的更嚴重。因此,在某些情況下,攻擊者能夠帶著使用者密碼庫離開。這意味著竊賊擁有整個加密密碼集合。沒有立即破解它們的方法。
“在 2022 年 8 月的事件中,我們沒有獲得任何個人資料。”最後通行證,卡里姆·圖巴。然而,該應用程式原始碼的一部分能夠恢復,然後用於欺騙 LastPass 員工傳輸其存取權限。透過這些,攻擊者能夠解密並複製「雲端儲存服務中的某些儲存卷」。
然而,沒有解密的資料被盜(顯然)
Karim Toubba 指出,在駭客獲得的加密資料中,我們將特別引用基本帳戶訊息,例如公司名稱、帳單、電子郵件和 IP 位址以及電話號碼。 「這些加密欄位透過 256 位元 AES 加密保持安全,並且只能使用我們的零知識架構從每個用戶的主密碼派生的唯一加密金鑰進行解密,」他繼續說道。 「提醒一下,LastPass 不知道主密碼,且 LastPass 不會儲存或維護主密碼。 »
事實仍然是,這些重複發生的事件嚴重損害了我們對這項服務的信心。我們還該相信這些說法嗎?這肯定會是一個相當困難的時期,但更改所有密碼和主密碼肯定會更好。或者,您也可以決定完全放棄 LastPass 並轉向解決方案,例如1密碼ou Bitwarden。
