就在您认为2022 年 LastPass 泄露事件已经结束时,我们仍在了解这次黑客攻击的危害有多大。据区块链专家 ZachXBT 称, The Block发现,在一系列攻击中,40 个用户的 536 万美元被盗。这还不包括 2023 年 10 月被盗的 440 万美元和今年早些时候(2024 年 2 月)被盗的 620 万美元。
最初的黑客攻击可以追溯到 2022 年,当时黑客声称访问了 LastPass 的数据,其中包含 API 令牌、客户密钥、多因素身份验证种子 (MFA) 和加密的密码库。尽管没有官方信息解释这次泄露是如何发生的,但负责的黑客有可能获得了帮助泄露的信息。尽管密码库已加密,但由于用户重复使用了较弱的或以前泄露的组合,黑客仍强行进入。这种访问与用户的弱密码或重复使用的密码相结合,导致各种帐户被盗。
ZachXBT 去年在X 帖子中写道:“这一点怎么强调都不为过,如果您认为自己可能曾经在 LastPass 中存储过助记词或密钥,请立即迁移您的加密资产。”
只有时间才能证明这一系列攻击是否会持续下去,这让你怀疑LastPass 是否安全。但最初的违规行为是如何发生的呢? LastPass 透露,黑客窃取了该应用程序的源代码。在随后的攻击中,黑客将被盗数据与另一次数据泄露中发现的信息合并。
随后,黑客利用了 LastPass 员工使用的远程访问应用程序中的漏洞。这使得黑客能够在 LastPass 高级工程师的电脑上安装键盘记录器,记录所有按键输入。
此次泄露凸显了所有帐户始终拥有强密码的重要性。切勿重复使用密码或使用易于猜测的密码,从而让黑客喜欢您。如果您不喜欢创建又长又强的密码,那么您始终可以使用最好的密码生成器之一。