LassPass 被黑,数据泄露事件
2022-12-22 圣诞节,LastPass 的 CEO Karim 发了一个更新的 Blog,更新了对LassPass8月份数据泄露安全问题的说明:https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/,大家可以点击看具体内容。
我制作了一期视频来介绍这次事件,后续影响和应对策略。
以下是对应的文字内容。
时间回溯,今年8月25日,LastPass 声称LastPass一个开发人员的账号被黑客入侵,部分源代码被窃取,但是没有证据表明客户数据被泄露。但 2022-12-22 的更新显示,黑客已经获取到了LastPass 用户的 Password Vault 密码数据。
这说明什么?我认为 8 月 25 号的声明,并不意味他们在欺骗客户,否则他们没有必要在12-22,圣诞节前给人添堵。
第二个声明,实际上意味着,LastPass 直到 12 月 22 前,才发现足够多的安全隐患,并识别出已经发生的数据泄露。
这四个多月期间,我都不敢想象,黑客已经把所有的客户数据下载了多少次,并且在他们的内部系统里埋设了多少后门。从第二个声明中,我们可以猜测,可能还有黑客埋设的其他安全漏洞没有被识别或发现。
由此可见,作为信息安全相关的软件和服务公司,LastPass的内部安全行为准则、策略,员工整体安全意识、能力,开发和生产环境的安全管理都让人担忧。
那么这次事件,如果你是LastPass的客户,你会受到那些影响?根据他们的安全声明,已经确定,基本客户账户信息和相关元数据,包括
- 公司名称
- 最终用户名称
- 账单地址
- 客户访问 LastPass 服务时使用的电子邮件地址
- 电话号码
- IP 地址
- 同时客户的Password Vault备份也被一同窃取
Password Vault 使用客户的主密码配合 AES256 算法加密。
如果你使用了一个很短或者很好猜的密码,那么,你有大麻烦了。
- 如果你使用了比较烂的主密码,那么你需要立刻更新 Password Vault 里的全部密码
- 如果你使用了比较好的主密码,你也应该开始更新 Password Vault 里的全部密码
- 检查你的各种使用到密码的系统,看看他们是否支持 2FA/MFA,如果支持,立刻启用他们。2FA/MFA 给你一层额外的访问保护
- 需要防范黑客利用已经窃取到的账户信息和密码信息,使用社会工程学的方法来骗取你的新人从而近一步获取其他访问权限
- 如果你不再信任LassPass,并且有更好的选择,你可以考虑从LassPass备份并迁徙自己的数据。
这个视频的篇幅有限,我会制作其他几个视频,分别告诉大家
- 如何从LassPass备份数据,删除数据和账户;
- 如何防范黑客的社会工程学攻击
- 关于2MFA或MFA
- 介绍其他一些适合个人和公司的密码工具
