據(jù)Bleeping Computer報(bào)道，LastPass當(dāng)?shù)貢r(shí)間12月22日透露，攻擊者在今年早些時(shí)候使用2022年8月事件中竊取的信息侵入其云存儲，竊取了客戶的保險(xiǎn)庫數(shù)據(jù)。

此前，11月30日，該公司首席執(zhí)行官卡里姆·圖巴（Karim Toubba）曾公開承認(rèn)遭黑客攻擊致數(shù)據(jù)泄露，但他表示黑客僅獲得了部分客戶的關(guān)鍵信息，客戶的密碼仍被安全加密。這是一年內(nèi)LastPass發(fā)生的兩次因云存儲漏洞而發(fā)生的安全事件。

該公司透露，8月事件的攻擊者在被驅(qū)逐之前，對其內(nèi)部系統(tǒng)訪問了四天。

攻擊者利用從Lastpass開發(fā)者環(huán)境中竊取的“云存儲訪問密鑰和雙存儲容器解密密鑰”，獲得了對Lastpass云存儲的訪問。

圖巴稱，LastPass使用云存儲服務(wù)來存儲生產(chǎn)數(shù)據(jù)的存檔備份。“威脅者從備份中復(fù)制了包含客戶基本賬戶信息和相關(guān)元數(shù)據(jù)的信息，包括公司名稱、最終用戶名稱、賬單地址、電子郵件地址、電話號碼以及客戶訪問LastPass服務(wù)的IP地址。”

“威脅者還能夠從加密的存儲容器中復(fù)制客戶的保險(xiǎn)庫數(shù)據(jù)備份，這些數(shù)據(jù)以專有的二進(jìn)制格式存儲，既包含未加密的數(shù)據(jù)如網(wǎng)站URL，也包含完全加密的敏感字段如網(wǎng)站用戶名、密碼、安全筆記和表格填寫的數(shù)據(jù)。”

但是，LastPass堅(jiān)稱用戶的加密數(shù)據(jù)和主密碼仍是安全的。圖巴稱，LastPass從不知道主密碼，它不存儲在Lastpass的系統(tǒng)上，LastPass也不維護(hù)主密碼。

加密數(shù)據(jù)則采用256位AES加密，只有用每個(gè)用戶的主密碼得出的唯一加密密鑰才能解密。

圖巴表示，“客戶的敏感保險(xiǎn)庫數(shù)據(jù)，如用戶名和密碼、安全筆記、附件和表格填寫字段，仍然是基于LastPass的零信任架構(gòu)進(jìn)行安全加密。"

公開信息顯示，LastPass是一個(gè)在線密碼管理器和頁面過濾器，采用了強(qiáng)大的加密算法，自動登錄/云同步/跨平臺/支持多款瀏覽器。該公司聲稱其產(chǎn)品有超過10萬家企業(yè)、3300萬人員正在使用，是全球最大的在線密碼管理軟件。

參考鏈接：https://www.bleepingcomputer.com/news/security/lastpass-hackers-stole-customer-vault-data-in-cloud-storage-breach/