3C資訊

LastPass發現駭客盜走用戶加密密碼庫

密碼管理服務LastPass在8月的時候遭到駭客入侵,未經授權的第三方存取其開發環境,並且盜走程式碼和私有技術,當時官方表示,使用者資料和加密密碼庫皆未受影響,但是經過進一步的調查,官方承認,駭客入侵開發環境,已經複製客戶加密密碼庫。

駭客在2022年8月時,存取了LastPass雲端儲存環境,雖然駭客在8月事件中沒有存取用戶資料,但是部分原始碼和技術資訊從開發環境被盜走,並且被用於鎖定一名員工,並成功獲得憑證和金鑰,以存取和解密雲端上的儲存。

在官方最新調查中,他們已經確認一旦駭客獲得雲端存取金鑰,和雙儲存容器解密金鑰,便可從備份中複製資訊,其中包含用戶帳戶資料和相關後設資料,包括公司名稱、用戶名稱、帳單地址、用戶存取LastPass服務所使用的電子郵件、電話號碼和IP地址。

同時,駭客還可以從加密儲存容器中,複製客戶加密密碼庫的備份,該儲存容器以特有的二進位格式儲存,其中的資料包含未加密資料,還有經加密的敏感欄位、密碼與填表資料等。官方提到目前沒有證據顯示,未加密的信用卡資料曾被存取,也因為LastPass不儲存完整的信用卡號,因此信用卡資訊不會在雲端儲存環境中留存。

LastPass用戶的加密資料使用256位元AES加密,並且只能透過零知識(Zero Knowledge)架構,從每個用戶的主密碼衍生出來的唯一加密金鑰進行解密,LastPass本身不會知道用戶的密碼,資料的加密和解密只會在LastPass本地客戶端進行。

LastPass解釋,駭客可能會嘗試暴力猜測用戶的主密碼,並用於解密加密密碼庫副本,同時駭客還可能針對用戶LastPass加密密碼庫所關聯的線上帳戶,進行網路釣魚、憑證填充或是各種暴力破解攻擊。官方提醒,LastPass不會以電話、電子郵件和簡訊,要求用戶點擊連結驗證個人資訊,用戶應該提高警覺避免被騙。

網頁設計最專業,超強功能平台可客製,窩窩以「數位行銷」「品牌經營」「網站與應用程式」「印刷品設計」等四大主軸,為每一位客戶客製建立行銷脈絡及洞燭市場先機,請問台中電動車哪裡在賣比較便宜可以到台中景泰電動車門市去看看總店:臺中市潭子區潭秀里雅潭路一段102-1號。電動車補助推薦評價好的iphone維修中心擁有專業的維修技術團隊,同時聘請資深iphone手機維修專家,現場說明手機問題,快速修理,沒修好不收錢住家的頂樓裝太陽光電聽說可發揮隔熱功效一線推薦東陽能源擁有核心技術、產品研發、系統規劃設置、專業團隊的太陽能發電廠商。網頁設計一頭霧水該從何著手呢? 回頭車貨運收費標準宇安交通關係企業,自成立迄今,即秉持著「以誠待人」、「以實處事」的企業信念台中搬家公司教你幾個打包小技巧,輕鬆整理裝箱!還在煩惱搬家費用要多少哪?台中大展搬家線上試算搬家費用,從此不再擔心「物品怎麼計費」、「多少車才能裝完」台中搬家公司費用怎麼算?擁有20年純熟搬遷經驗,提供免費估價且流程透明更是5星評價的搬家公司好山好水露營車漫遊體驗露營車x公路旅行的十一個出遊特色。走到哪、玩到哪,彈性的出遊方案,行程跟出發地也可客製,產品缺大量曝光嗎?你需要的是一流包裝設計Google地圖已可更新顯示潭子電動車充電站設置地點!!廣告預算用在刀口上,台北網頁設計公司幫您達到更多曝光效益

當用戶的主密碼被駭客猜中,儲存在LastPass的加密資料便可能曝光,官方表示,如果用戶遵循他們建議的密碼最佳實踐,要被猜到主密碼非常困難。LastPass用戶的主密碼在2018年之後,被要求最少要有12個字元,這能大幅降低主密碼被暴力破解的機率。

另外,LastPass使用PBKDF2密碼金鑰衍生函式的100,100次迭代,官方提到,這種密碼強化演算法,也使得駭客很難猜出主密碼。但是當用戶在其他網際網路服務重複使用密碼,而該密碼曾被洩漏,則駭客可能會透過憑證填充攻擊直接存取帳戶。

對於使用LastPass密碼最佳實踐的用戶,官方認為不須採取任何建議操作,因為使用目前普遍的密碼破解技術來猜測用戶的主密碼,也需要耗費百萬年,但是當用戶並非採用最佳實踐,則將會大幅減少正確猜測需要的次數,官方建議這些用戶應該更改儲存的網站密碼,以降低安全風險。

而對於實作LastPass聯合登入服務的企業用戶,官方解釋,LastPass採用零知識架構,並且實作隱藏式主密碼以加密密碼庫,根據不同的實作模型,主密碼由兩個或是多個單獨儲存的256位元加密隨機產生的字串,以特殊方法組合而成,駭客無法存取用戶身份供應商或是LastPass基礎設施中的關鍵金鑰片段,因此實作聯合登入服務的企業客戶,不需要執行額外操作。

LastPass表示,他們檢討8月入侵事件後,完全停用該環境,並且重新建立開發環境,強化開發人員機器、流程和身份驗證機制,同時添加額外的日誌紀錄和警示功能,以檢測未經授權的活動,同時官方也積極輪換所有可能受影響的憑證和證書,補充現有端點安全性。

https://www.ithome.com.tw/news/154862