LastPass密码库被盗，最大密码管理软件网络攻击事件新进展

据LastPass官网最新公告，其于今年八月份遭受的网络攻击事件可能要比预想中严重得多。LastPass透露，攻击者在该次网络攻击中窃取了LastPass客户的大量个人信息，其中甚至包括他们的加密密码保险库。

在前一次发布的公告中，LastPass对事态的描述为：未经授权的一方获得了对第三方基于云的存储服务（LastPass使用该服务来存储其生产数据的存档备份）的访问权限。攻击者没有访问任何客户数据，但一些源代码和技术信息从LastPass的开发环境中被盗，并被用于针对LastPass员工，以获取用于访问和解密基于云的存储服务中的一些存储卷的凭据和密钥。

但现在，已确认，在获得云存储访问密钥和双存储容器解密密钥后，攻击者从备份中复制了包含基本客户帐户信息和相关元数据的信息，如公司名称、最终用户名称、账单地址、电子邮件地址、电话号码，以及客户访问LastPass服务的IP地址等。

另外更为关键的是，攻击者还能够从加密存储容器中复制客户保险库数据的备份。该容器以专有二进制格式存储，其中包含未加密的数据（例如网站URL），以及完全加密的敏感字段（例如网站用户名、密码、安全注释和表单填写数据）。

这意味着攻击者可能会尝试使用暴力破解来猜测LastPass客户的主密码并解密保险库数据副本。如果LastPass客户的主密码不够复杂，则很有可能会被破解成功，进而泄露其保存在LastPass上的其他关键密码。对于这种情况，LastPass建议客户尽快更换密码。

另外，利用得手的信息，黑客还可能会针对LastPass客户进行网络钓鱼攻击、撞库攻击，或针对与其LastPass保险库关联的在线帐户的其他暴力攻击。LastPass建议客户警惕近期可能的社会工程或网络钓鱼攻击，例如不要轻易点击不明链接等。