【密码管理平台LastPass披露一起安全事件，建议主密码未遵循默认值的用户更改密码】

【密码管理平台LastPass披露一起安全事件，建议主密码未遵循默认值的用户更改密码】2022年12月25日04点42分老不正经报道，在线密码管理平台LastPass披露称，未经授权的一方获得了对第三方云存储服务的访问权限，LastPass使用该服务存储其生产数据的存档备份。根据LastPass调查，一个未知的攻击者利用LastPas之前在2022年8月披露的事件中获得的信息访问了一个基于云的存储环境，一些消息来源代码和技术信息从开发环境中被盗，并被用于攻击另一名员工，获取用于访问和解密基于云的存储服务中的某些存储凭证和密钥。LastPass确定，一旦获得云存储访问密钥和双存储容器解密密钥，攻击者就会从备份中复制信息，其中包含基本客户账户信息和相关元数据，包括公司名称、最终用户名称、账单地址、客户访问LastPass服务时使用的电子邮件地址、电话号码和IP地址。LastPass称自2018年以来，其要求主密码至少12个字符，可极大地降低暴力猜测密码的能力。如果用户的主密码不遵循上述默认值，LastPass建议用户考虑通过更改存储的网站密码来最大限度地降低风险。

【密码管理平台LastPass遭到黑客攻击，用户密码恐遭泄露】

【密码管理平台LastPass遭到黑客攻击，用户密码恐遭泄露】2022年12月25日12点21分12月25日消息，LastPass表示，一个未知的黑客利用之前他们在2022年8月披露的事件中获得的信息访问了一个基于云的存储环境，一些消息来源代码和技术信息被盗，并被用于攻击另一名员工，以获取用于访问和解密基于云存储服务中的某些存储凭证和密钥。LastPass已经确定，黑客一旦获得云存储访问密钥和双存储容器解密密钥，就会从备份中复制信息，其中包含客户账户信息和相关元数据，例如公司名称、最终用户名称、账单地址、客户访问LastPass服务时使用的电子邮件地址、电话号码和IP地址。此外，黑客还能从加密存储容器中复制客户保险库数据的备份。黑客可能会尝试使用蛮力猜测用户的主密码并解密他们获取的保险库数据副本，还可能针对与LastPass保险库关联的在线帐户进行网络钓鱼攻击。

LastPass 要求用户将主密码更新为至少 12 个字符

LastPass要求用户将主密码更新为至少12个字符密码管理工具LastPass将强制所有用户将主密码更改为至少12个字符，这可能是为了应对2022年该公司遭受的黑客攻击。周四，LastPass向用户发送了一封有关新要求的电子邮件。“所有主密码必须至少满足12个字符的要求。如果你的主密码少于12个字符，你将需要更新它，”该消息说道。该电子邮件补充道，LastPass“致力于满足最新的行业安全标准和最佳实践”，因此提出了这项新要求。LastPass的一位发言人补充说：“这并不是针对新威胁或事件的回应。”——

LastPass称黑客窃取了密码库 客户距离被攻破仅差一个主密码

LastPass称黑客窃取了密码库客户距离被攻破仅差一个主密码客户密码库的缓存以一种"专有的二进制格式"存储，包含未加密和加密的密码库数据，但这种专有格式的技术和安全细节没有具体说明。未加密的数据包括金库存储的网址，但LastPass没有说更多或在什么情况下，目前还不清楚被盗的备份时间有多近。不过，LastPass表示，客户的密码库是加密的，只能用客户的主密码解锁，而主密码只有客户自己知道。但该公司警告说，入侵事件背后的网络犯罪分子"可能试图使用蛮力来猜测你的主密码，并解密他们拿走的保险库数据副本。"Toubba说，网络犯罪分子还拿走了大量的客户数据，包括姓名、电子邮件地址、电话号码和一些账单信息。密码管理器生成的密码都是长的、复杂的，并且对每个网站或服务都是独一无二的。但是，像这样的安全事件提醒我们，并不是所有的密码管理器都是平等的，可以通过不同的方式被攻击或破坏。鉴于每个人的威胁模式不同，没有一个人会有与之相同的要求。在像这样罕见的糟糕事件中，我们在解析LastPass的数据泄露通知时阐明了这一点--如果不良行为者能够进入客户的加密密码库，"他们只需要受害者的主密码"。一个暴露的或被破坏的密码库只有在加密以及密码被用来扰乱它的情况下才会显得有用。作为LastPass的客户，你能做的最好的事情是将你目前的LastPass主密码改为一个新的和独特的密码（或口令），并写下来保存在一个安全的地方，这么做以后，意味着您当前的LastPass库是安全的。如果您认为您的LastPass密码库可能受到影响，例如您的主密码很弱，或者您在其他地方使用了它，您现在就应该开始改变存储在LastPass密码库中的密码。从最关键的账户开始，如电子邮件账户、手机账户、银行账户和社交媒体账户。好消息是，任何受双因素认证保护的账户都会使攻击者在没有第二个因素的情况下更难访问你的账户，例如电话弹出或短信或电子邮件发送的代码。这就是为什么首先要保护那些第二因素的账户，如你的电子邮件账户和手机计划账户。...PC版：https://www.cnbeta.com.tw/articles/soft/1336033.htm手机版：https://m.cnbeta.com.tw/view/1336033.htm

【CZ：密码管理器LastPass遭遇泄露，用户需要确保已启用2FA双因子验证】

【CZ：密码管理器LastPass遭遇泄露，用户需要确保已启用2FA双因子验证】2022年12月23日10点22分老不正经报道，据币安首席执行官CZ在社交媒体透露密码管理器LastPass遭遇泄露问题，CZ称自己曾在博客文章中推荐过这个密码管理器。据LastPass称本次问题对客户密码没有影响，因为客户需要自己在客户端加密，但黑客目前已经拥有了用户信息，包括未加密的电子邮件地址和网站URL。尽管LastPass随后提供了更新，但CZ仍提示如果重复使用主密码的密码或主密码较弱，则黑客有可能获得所有凭据，另外用户需要确保已启用2FA双因子验证。据此前报道，LastPass于今年八月部分源码泄露。

安全专家指责 LastPass 公告：存在 14 点疑问，避重就轻混淆用户视听

安全专家指责LastPass公告：存在14点疑问，避重就轻混淆用户视听密码管理工具LastPass在圣诞节前发布公告，承认发生于今年11月的安全事件中黑客窃取了包括名称、URL、密码（加密）在内的用户数据。安全专家WladimirPalant在他的安全博客上发帖，认为该公告存在14个疑点，并逐条进行了驳斥。Palant认为LastPass淡化了风险，并存在“严重疏忽”行为。这涵盖了从该公司声称的透明度到其自身的安全做法等所有内容。其中一个有争议的说法是LastPass告诉客户“如果你使用上面的默认设置，使用普遍可用的密码破解技术，需要数百万年才能猜出你的主密码”。而Palant表示对于普通用户密码来说，整个破解时间可能只需要2个月就可以完成，而不是“数百万年”。来源，来自：雷锋频道：@kejiqu群组：@kejiquchat投稿：@kejiqubot