安全動(dòng)態(tài)

云密碼管理軟件LastPass數(shù)據(jù)泄露引發(fā)全球恐慌

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2022-12-26    瀏覽次數(shù):
 

上周五密碼管理器廠商LastPass透露其云存儲(chǔ)設(shè)施遭黑客入侵,大量客戶保險(xiǎn)庫(kù)敏感數(shù)據(jù)疑遭泄露。

這是LastPass自今年年初以來(lái)披露的第二起安全事件,此前該公司曾在8月份確認(rèn)黑客使用泄露的開發(fā)人員賬號(hào)訪問(wèn)了其開發(fā)環(huán)境。

根據(jù)LastPass的最新通告,最新泄露事件中攻擊者使用的正是8月份從其開發(fā)人員環(huán)境中竊取的“云存儲(chǔ)訪問(wèn)密鑰和雙存儲(chǔ)容器解密密鑰”訪問(wèn)了Lastpass的云存儲(chǔ)設(shè)施。

上個(gè)月LastPass曾發(fā)布8月份黑客攻擊事件的通告,當(dāng)時(shí)該公司首席執(zhí)行官卡里姆·圖巴(Karim Toubba)含糊其辭地表示黑客“僅獲得了客戶信息的某些元素”。在發(fā)送給客戶的電子郵件中,Lastpass還證實(shí)攻擊者從其系統(tǒng)中竊取了專有技術(shù)信息和產(chǎn)品源代碼。

在后續(xù)更新中,該公司還曾透露,八月的網(wǎng)絡(luò)攻擊中,黑客在其系統(tǒng)中駐留(保持內(nèi)部訪問(wèn)權(quán))了四天。

到底哪些數(shù)據(jù)泄露了?

LastPass首席執(zhí)行官Toubba表示:“攻擊者非法訪問(wèn)了用戶的基本帳戶信息和相關(guān)元數(shù)據(jù)信息。包括公司名稱、最終用戶名稱、賬單地址、電子郵件地址、電話號(hào)碼以及客戶訪問(wèn)LastPass服務(wù)的IP地址。(編者:此部分信息為明文未加密)”

“攻擊者還從加密存儲(chǔ)容器中復(fù)制了客戶保險(xiǎn)庫(kù)數(shù)據(jù)的備份,保險(xiǎn)庫(kù)數(shù)據(jù)以專有的二進(jìn)制格式存儲(chǔ),其中包含未加密的數(shù)據(jù),例如網(wǎng)站URL,以及完全加密的敏感字段,例如網(wǎng)站用戶名和密碼,安全注釋和表單填寫的數(shù)據(jù)?!保ㄏ聢D虛線部分)

根據(jù)LastPass的說(shuō)法,泄露的用戶保險(xiǎn)庫(kù)數(shù)據(jù)使用了256位AES加密保護(hù),并且只能用用戶主密碼(Master Password)派生的唯一加密密鑰進(jìn)行解密。

Toubba表示,用戶的主密碼永遠(yuǎn)不會(huì)為L(zhǎng)astPass所知,它不會(huì)存儲(chǔ)在Lastpass的系統(tǒng)上,并且LastPass也不會(huì)維護(hù)它。

但LastPass客戶被警告說(shuō),攻擊者可能會(huì)試圖暴力破解他們的主密碼,以訪問(wèn)被盜的加密保管庫(kù)數(shù)據(jù)。LastPass聲稱,如果用戶始終遵循LastPass推薦的密碼最佳實(shí)踐,這將非常困難和耗時(shí)。

如果用戶設(shè)置了正確的主密碼,則不用過(guò)于擔(dān)心,因?yàn)椤笆褂贸R娒艽a破解技術(shù)猜測(cè)主密碼需要數(shù)百萬(wàn)年,”Toubba補(bǔ)充道:“您的保險(xiǎn)庫(kù)數(shù)據(jù),例如用戶名和密碼,安全筆記,附件,和表單填寫字段,都基于LastPass的零知識(shí)架構(gòu)進(jìn)行了安全加密?!?

為何引發(fā)全球用戶恐慌?

LastPass的密碼管理軟件在全球擁有超過(guò)3300萬(wàn)個(gè)人用戶和10萬(wàn)家企業(yè)用戶,其用戶數(shù)據(jù)大規(guī)模泄露引發(fā)了全球性恐慌,甚至波及其他密碼管理器產(chǎn)品的用戶。

雖然LastPass宣稱泄露的是加密后的用戶數(shù)據(jù)庫(kù),黑客破解很困難。但慢霧科技創(chuàng)始人余弦認(rèn)為用戶面臨的風(fēng)險(xiǎn)依然很高。他在推特上建議LastPass的企業(yè)用戶立刻更改在該密碼管理器中存儲(chǔ)過(guò)的賬戶密碼,并警告說(shuō):

“根據(jù)官方披露的信息來(lái)看,至少虛線里的信息許多是泄露的,包括Encrypted Vault,這里面就有你那些最關(guān)鍵的密碼等隱私。那么后面的游戲就變成:如果你的Master Password也被黑客知道了,那就全完了...”

“黑客要知道你的Master Password是有方法的,碰撞難度應(yīng)該挺大,但如果通過(guò)其他泄漏源做分析,那就有一定概率可以知道。黑客之后可以玩概率統(tǒng)計(jì)游戲,反正LastPass用戶那么多...”

余弦進(jìn)一步警告說(shuō):“更糟糕的是,黑客還拿到了許多明文(用戶隱私)信息,”如:

  • 企業(yè)名稱、最終用戶名、賬單地址、郵件地址、電話號(hào)碼、用戶訪問(wèn)LastPass服務(wù)的IP地址…

  • 用戶密碼庫(kù)里未加密的數(shù)據(jù),例如網(wǎng)站地址…

余弦指出,雖然之前推薦了1Password和Bitwarden,但不排除二者將來(lái)也有可能發(fā)生類似的數(shù)據(jù)泄露安全事故,因此密碼管理器用戶應(yīng)該提高警惕,時(shí)刻做好響應(yīng)的準(zhǔn)備。

密碼管理器

風(fēng)險(xiǎn)預(yù)防與緩解六大建議

GoUpSec咨詢多位安全專家后,總結(jié)了密碼管理器個(gè)人用戶的六大風(fēng)險(xiǎn)預(yù)防與緩解建議,如下:

  • 如果可能,只用開源且不能上傳服務(wù)器的密碼管理器(例如Keepass),或者關(guān)閉云同步功能(例如僅使用1Password的本地同步功能),避免使用瀏覽器插件等“方便的密碼管理器擴(kuò)展功能”。該方法雖然會(huì)犧牲一些(團(tuán)隊(duì)管理)功能和便利性,但是對(duì)于個(gè)人用戶來(lái)說(shuō),安全性更好。

  • 設(shè)置一個(gè)足夠強(qiáng)大和獨(dú)特的主密碼(Master Password),并且單獨(dú)(物理)記錄和存放,不可以任何格式(包括圖片)存儲(chǔ)在任何聯(lián)網(wǎng)設(shè)備中。

  • 在密碼管理器中不要在明文區(qū)域存儲(chǔ)敏感信息。

  • 給密碼管理器中存儲(chǔ)的密碼“加鹽”(密碼的一部分片段為密寫或者用符號(hào)代替的子密碼,子密碼獨(dú)立于密碼管理器記錄和存儲(chǔ))。

  • 開啟密碼管理器的多因素認(rèn)證,并且使用硬件密鑰或APP認(rèn)證程序等認(rèn)證因素而不是短信密碼。

  • 面對(duì)類似LastPass的用戶數(shù)據(jù)泄露事件,請(qǐng)立刻更改所有存儲(chǔ)在密碼管理器中的賬戶密碼,并遵循以上安全建議。

 
 

上一篇:2022年12月26日聚銘安全速遞

下一篇:2022年中國(guó)網(wǎng)信產(chǎn)業(yè)十大事件