LastPass数据泄露引发全球恐慌 - 网安 - 专业的网络安全产业、社区、知识平台

上周五密码管理器厂商LastPass透露其云存储设施遭黑客入侵，大量客户保险库敏感数据疑遭泄露。

这是LastPass自今年年初以来披露的第二起安全事件，此前该公司曾在8月份确认黑客使用泄露的开发人员账号访问了其开发环境。

根据LastPass的最新通告，最新泄露事件中攻击者使用的正是8月份从其开发人员环境中窃取的“云存储访问密钥和双存储容器解密密钥”访问了Lastpass的云存储设施。

上个月LastPass曾发布8月份黑客攻击事件的通告，当时该公司首席执行官卡里姆·图巴（Karim Toubba）含糊其辞地表示黑客“仅获得了客户信息的某些元素”。在发送给客户的电子邮件中，Lastpass还证实攻击者从其系统中窃取了专有技术信息和产品源代码。

在后续更新中，该公司还曾透露，八月的网络攻击中，黑客在其系统中驻留（保持内部访问权）了四天。

到底哪些数据泄露了？

LastPass首席执行官Toubba表示：“攻击者非法访问了用户的基本帐户信息和相关元数据信息。包括公司名称、最终用户名称、账单地址、电子邮件地址、电话号码以及客户访问LastPass服务的IP地址。（编者：此部分信息为明文未加密）”

“攻击者还从加密存储容器中复制了客户保险库数据的备份，保险库数据以专有的二进制格式存储，其中包含未加密的数据，例如网站URL，以及完全加密的敏感字段，例如网站用户名和密码，安全注释和表单填写的数据。”（下图虚线部分）

根据LastPass的说法，泄露的用户保险库数据使用了256位AES加密保护，并且只能用用户主密码（Master Password）派生的唯一加密密钥进行解密。

Toubba表示，用户的主密码永远不会为LastPass所知，它不会存储在Lastpass的系统上，并且LastPass也不会维护它。

但LastPass客户被警告说，攻击者可能会试图暴力破解他们的主密码，以访问被盗的加密保管库数据。LastPass声称，如果用户始终遵循LastPass推荐的密码最佳实践，这将非常困难和耗时。

如果用户设置了正确的主密码，则不用过于担心，因为“使用常见密码破解技术猜测主密码需要数百万年，”Toubba补充道：“您的保险库数据，例如用户名和密码，安全笔记，附件，和表单填写字段，都基于LastPass的零知识架构进行了安全加密。”

为何引发全球用户恐慌？

LastPass的密码管理软件在全球拥有超过3300万个人用户和10万家企业用户，其用户数据大规模泄露引发了全球性恐慌，甚至波及其他密码管理器产品的用户。

虽然LastPass宣称泄露的是加密后的用户数据库，黑客破解很困难。但慢雾科技创始人余弦认为用户面临的风险依然很高。他在推特上建议LastPass的企业用户立刻更改在该密码管理器中存储过的账户密码，并警告说：

“根据官方披露的信息来看，至少虚线里的信息许多是泄露的，包括Encrypted Vault，这里面就有你那些最关键的密码等隐私。那么后面的游戏就变成：如果你的Master Password也被黑客知道了，那就全完了...”

“黑客要知道你的Master Password是有方法的，碰撞难度应该挺大，但如果通过其他泄漏源做分析，那就有一定概率可以知道。黑客之后可以玩概率统计游戏，反正LastPass用户那么多...”

余弦进一步警告说：“更糟糕的是，黑客还拿到了许多明文（用户隐私）信息，”如：

余弦指出，虽然之前推荐了1Password和Bitwarden，但不排除二者将来也有可能发生类似的数据泄露安全事故，因此密码管理器用户应该提高警惕，时刻做好响应的准备。

密码管理器

风险预防与缓解六大建议

GoUpSec咨询多位安全专家后，总结了密码管理器个人用户的六大风险预防与缓解建议，如下：

如果可能，只用开源且不能上传服务器的密码管理器（例如Keepass），或者关闭云同步功能（例如仅使用1Password的本地同步功能），避免使用浏览器插件等“方便的密码管理器扩展功能”。该方法虽然会牺牲一些（团队管理）功能和便利性，但是对于个人用户来说，安全性更好。
设置一个足够强大和独特的主密码（Master Password），并且单独（物理）记录和存放，不可以任何格式（包括图片）存储在任何联网设备中。
在密码管理器中不要在明文区域存储敏感信息。
给密码管理器中存储的密码“加盐”（密码的一部分片段为密写或者用符号代替的子密码，子密码独立于密码管理器记录和存储）。
开启密码管理器的多因素认证，并且使用硬件密钥或APP认证程序等认证因素而不是短信密码。
面对类似LastPass的用户数据泄露事件，请立刻更改所有存储在密码管理器中的账户密码，并遵循以上安全建议。