全球最知名的密码管理器，又双叒叕泄露数据了

今年8月，知名在线密码管理器LastPass法律与公告，表示有黑客在侵入系统后窃取了部分源代码，并在大约四天的时间内获得了一些敏感信息。

为此，LastPass还聘请了一家领先的网络安全和取证公司确保数据安全。

最终该公司与来Mandian的安全专家密切合作调查结果显示，没有任何用户数据被泄露。

首席执行官担保，虽然LastPass被黑，但没有任何用户数据泄露。

11月30日，当大部分用户已经忘掉这件事后，LastPass却再次爆出数据泄露事件。

LastPass首席执行官KarimToubba在博文中表示，有黑客访问了LastPass的第三方云存储服务器，并借此获得了部分用户的信息。

博文中并未明确黑客具体窃取了哪些信息、也没有明确有多少用户受到影响。

同时Toubba还称，由于LastPass采用了零知情（ZeroKnowledge）架构，因此虽然出现了数据泄露，但用户的密码仍然是安全加密的。

据悉，所谓的零知情架构就是只有用户知道主密码，加密只发生在设备层面而不是服务器端，LassPass也不会知道，这使得单纯的侵入服务器并不会导致主密码泄露。

目前， LastPass已经确认，此次黑客能够顺利侵入服务器，是因为TA利用了在今年8月被窃取的源代码和专有信息，并借此获得了对数据的访问权限。

值得一提的是，这并非LastPas首次发生数据泄露的问题了。

去年12月，数百名用户在Twitter、reddit等社交平台上发布消息称，自己的LastPass账户主密码被泄露。

他们得到了系统通知称，有不同IP尝试通过他们的主密码登录账号（当用户在不常用地区登录账户时，LastPass会发布邮件通知）。

即使在修改密码后，他们还是会看到来自不同地点的新的登录尝试。

随后LastPass发布了一份声明，指出其安全团队观察到并收到了潜在的未知攻击者撞库尝试的报告。

然而，在LastPass发布声明后，依然有用户反驳称，自己为LastPass设置的主密码是独立的，从未在其他地方使用过，因此不可能是撞库泄露。

再加上不止一名用户在修改主密码后又收到同样的异常警告，如果是撞库，新密码不会这么快也立即泄露。

此外，去年3月，有两个安全研究团队分析发现，LastPass中内置了7种不同的追踪器，可能是用来收集并发送用户个人数据的。

研究人员称，即使LastPass允许用户选择自行关闭这些追踪器，但其依然可能会给用户带来安全风险。

比如，其中一个追踪器就指向了某数据分析平台，其涵盖的业务包括广告合作伙伴对接、广告优化等。

报告还揭示了LastPass在手机客户端需要用户开启的权限。

包括但不限于手机设备品牌型号、生物识别开关状态、精确地理位置、读取SD卡中的内容、录制音频等等。

安全专家称，对于处理极其敏感的数据（密码）的软件来说，LastPass本身并没有广告模块，所以内置这些追踪器完全是没有道理的。

资料显示，LastPass是世界上最大的密码管理公司之一，目前有超过3300万人和10万家企业在使用它。

随着消费者和企业使用该公司的软件安全地存储密码，人们难免担心，如果该公司被黑客攻击，可能会让不法分子访问其存储的密码。

悲观的是，除了LastPass外，Bitwarden、RoboForm和Dashlane等密码管理器此前也被曝光过含有多款追踪器。

说到底，密码这种东西，最终还是保留在自己手里才放心。