密码管理工具 LastPass 首席执行官卡里姆 图布巴(Karim Toubba)在今天更新的博文中表示,仍在调查今年 11 月底遭到的网络安全攻击,目前已经确认黑客窃取了用户的姓名、地址、电子邮件、电话号码等信息。
在这份博文中写道:
我们目前的调查结果显示,黑客获得了云存储访问密钥和双存储容器解密密钥,从备份中复制了包含客户基本账户信息和相关元数据的信息,其中包括公司名称、最终用户名称、账单地址、电子邮件地址、电话号码,以及客户访问 LastPass 服务的 IP 地址。
更糟糕的是,在本次安全事件中用户的密码库也被黑客复制。
黑客能够从加密存储容器中复制客户密码库数据的备份,这些数据以专有的二进制格式存储,其中不仅包含如网站 URL 等未加密的数据,也包括网站用户名和密码、安全笔记和表格填写数据在内的完全加密的敏感字段。
这些加密字段保持 256 位 AES 加密的安全性,只有通过使用我们的零知识架构从每个用户的主密码中获得的唯一加密密钥才能解密。需要提醒的一点是,LastPass 永远不会知道主密码,LastPass 也不会存储或维护这些密码。数据的加密和解密只在本地 LastPass 客户端进行。关于我们的零知识架构和加密算法的更多信息,请访问这里。
虽然用户密码库仍然受到其主密码的保护,但黑客可能会尝试蛮力、网络钓鱼或社会工程攻击。因此,如果你曾使用过、或者目前仍在使用 LastPass,那么推荐重新更改下密码。
LastPass 表示,其调查仍在进行中,并 "致力于让你了解我们的调查结果,并向你更新我们正在采取的行动以及你可能需要采取的任何行动"。
