LastPass安全事故追踪：除主密码外用户其他信息如手机号等全部泄露

知名密码管理器 LastPass 此前因 Authy 员工被钓鱼而出现安全事故，这话听着有点绕口，大概是这么个情况：多因素认证器 Authy 员工收到钓鱼邮件后泄露了密码服务器内容加密，黑客入侵了 Authy 的服务器窃取了 LastPass 工程师账户的 2FA，当然估计黑客也提前通过其他方式获取了这名工程师的账号密码，最终结果就是 LastPass 被黑了。

目前 LastPass 已经公布最新调查报告，不幸的是根据调查报告来看，此次安全事故潜在影响极大，用户除了主密码没泄露外其他信息基本都已经泄露。

LastPass 在报告中称：

我们目前的调查结果显示，黑客获取了 LastPass 在第三方云存储的访问密钥和双存储容器解密密钥，从 LastPass 的备份数据中复制了包含客户基本账户信息和相关元数据的信息。

包括用户的公司名称、最终用户名称、账单地址、电子邮件地址、手机号码、访问 LastPass 的 IP 地址。

更更糟糕的是用户密码库也被黑客复制，这个密码库指的是 LastPass 登录密码，并非用于解密用户其他密码数据的主密码。

黑客从加密存储容器中复制客户密码数据库的备份，这些属于使用专有的二进制格式存储，其中包含网站 URL 等未加密的数据，也包含网站用户名、密码、安全笔记、表格数据等完全加密的敏感字段数据。

这些数据使用 AES256 加密，在没有用户主密码的情况下仍然无法解密，考虑到 LastPass 并不存储用户主密码，所以存储在 LastPass 的其他网站密码依然是安全的。

目前 LastPass 建议所有用户立即更改自己的 LastPass 账户密码，如果可以的话蓝点网建议你把账号电子邮件也改了，因为后面肯定会收到大量钓鱼邮件。

用户需谨记 LastPass 不会通过电话或邮件询问你的主密码，请不要在除 LastPass 客户端外的任何地方填写你的主密码，方式是黑客的钓鱼邮件或钓鱼网站。

诚然此次安全事故直接原因是 Authy 引起的，但我们其实挺好奇为什么 LastPass 工程师账号密码泄露后怎么会导致这么多存储库密钥也泄露的，这让我们有点怀疑 LastPass 内部安全架构是否是合理的、是否有安全审计。

（编辑：应用网_常德站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!