去年对于密码管理器 LastPass 来说是特别糟糕的一年,因为一系列黑客事件暴露了其本应坚如磐石的安全性中的一些严重弱点。现在,我们确切地知道这些攻击是如何发生的——事实令人震惊。
这一切都始于 2022 年 8 月,当时 LastPass 透露威胁行为者窃取了该应用程序的源代码。在第二次后续攻击中,黑客将这些数据与在另一次数据泄露中发现的信息结合起来,然后利用 LastPass 员工使用的远程访问应用程序中的一个弱点。这使他们能够在公司高级工程师的计算机上安装键盘记录器。
一旦该键盘记录器就位,黑客就可以在输入工程师的 LastPass 主密码时窃取该密码,从而授予他们访问该员工保险库的权限——以及其中包含的所有秘密。
他们使用该访问权限导出保险库的内容。隐藏在数据中的是解密存储在 LastPass 云存储系统中的客户备份所需的解密密钥。
这很重要,因为 LastPass 将生产备份和关键数据库备份保存在云端。大量敏感的客户数据也被盗,尽管黑客似乎无法解密。 LastPass 支持页面 详细说明了被盗的物品。
可疑的透明度
对于 LastPass 用户来说幸运的是,似乎客户最敏感的数据——例如(大多数)电子邮件地址和密码——都使用零知识方法进行了加密。这意味着它们是用从每个用户的主密码派生的密钥加密的,LastPass 不知道。当黑客窃取 LastPass 数据时,他们无法获得这些解密密钥,因为 LastPass 没有将它们存储在任何地方。
也就是说,威胁行为者获取了大量重要数据。这包括 LastPass 的多因素身份验证数据库、API 机密、客户元数据、配置数据等的备份。除此之外,除了 LastPass 之外,似乎还有许多产品也遭到破坏。
在一个支持页面上,LastPass 表示第二次攻击的实施方式——使用真实的员工登录详细信息——使其难以被发现。最后,当其 AWS GuardDuty Alerts 系统警告说有人试图使用其 Cloud Identity and Access Management 角色执行未经授权的活动时,该公司意识到出了点问题。
最近几个月,LastPass 因其对攻击的处理方式而受到大量批评,鉴于最新的披露,这种反对不太可能平息。事实上,一家安全公司甚至表示 LastPass 不是一款值得信赖的应用程序,用户需要切换到不同的密码管理器。
现在,LastPass 显然试图通过在页面中添加“<meta name=”robots” content=”noindex”>”代码来隐藏其攻击支持页面,不让搜索引擎看到。这只会让用户(以及更广泛的世界)更难发现发生了什么,而且似乎很难本着透明和问责的精神去做。公司博客上也没有发布任何内容。
如果您是 LastPass 客户,最好找一个替代应用程序。幸运的是,还有许多其他出色的密码管理器可以可靠地保护您的重要信息。