软餐获悉,密码管理器 LastPass 正曝出严重的安全事故。LastPass 官方日前披露了 2022 年 8 月一起入侵事件的后续更新——LastPass 确认其用户的保险库数据和个人信息已被攻击者获取。8 月份时,LastPass 称入侵发生在开发环境中,LastPass 客户的数据没有泄露,现在看实际情况要严重得多。
LastPass 官方博客证实,攻击者能够 “复制客户保险库数据的备份”。此数据包括未加密和加密的数据。未加密的数据包括网站 URL 和元数据,包括 “公司名称、最终用户名称、账单地址、电子邮件地址、电话号码” 和客户访问 LastPass 时的 IP 地址。更糟糕的是,数据包括加密字段,其中包含客户的用户名和密码、安全注释和表单填写数据。虽然这些数据使用 256 位 AES 加密进行加密,但仍可能会被攻击者暴力破解以获得对用户保险库的访问权限。
LastPass 客户应该高度重视这次事件,并立即更改主密码,确保它是唯一且安全的,同时应修改保险库中存储的所有站点登录信息。