LastPass 再次被黑,这次影响的是客户

12 月 22 日,LastPass 发布了一篇新的博客文章,其中包含有关泄露客户信息的更多信息,称已获取帐户信息,例如帐单地址、电子邮件地址、最终用户名、电话号码和 IP 地址信息。还泄露了客户保险库数据,其中包括未加密的数据,如网站 URL 和加密数据,如网站用户名和密码、安全笔记和填写表格的数据。 您可以在该公司的博客文章中阅读更多关于丢失信息的信息,以及对迄今为止发生的事情和公司下一步将采取的步骤的完整解释。如果您是 LastPass 客户,最好的保护措施是使用从未在其他地方使用过的强随机密码。您还可以选择更换供应商——我们对最佳密码管理器的汇总提供了 LastPass 以外的建议,您可以尝试。 12 月 1 日的原始故事涵盖了更多泄漏的背景细节,如下所示。 对于 LastPass 来说,这是艰难的一年。早在 8 月,流行的密码管理器就遭遇了安全漏洞,公司的开发人员环境被渗透。当时,LastPass 表示,虽然其部分源代码和专有技术信息被盗,但客户并未受到影响。 现在该公司经历了第二次相关的黑客攻击,这次影响了客户。正如周三在其博客上报道的那样,LastPass 最近在第三方云存储服务中检测到异常活动。迄今为止的一项调查显示,违规行为源于在 2022 年 8 月事件中获得的知识,并且“客户信息的某些元素”已被访问。由于调查仍在进行中,因此无法获得更多信息。然而,LastPass 表示,客户密码仍然是安全加密的。 尽管针对日常体验提出了服务收入建议(包括我们的建议),但如果您发现此消息令人不安,那么您的反应是公平的。LastPass 的服务在前几年曾遭受黑客攻击,其中包括 2015 年未经授权访问用户帐户电子邮件地址、密码提醒和身份验证哈希等重大事件。其他安全漏洞包括 2017 年的浏览器扩展漏洞,该漏洞允许网站窃取密码。2019 年,发现 2017 年问题的同一位安全研究人员还发现了另一个浏览器扩展漏洞,该漏洞允许泄露最后使用的密码。该公司甚至出现了通信故障,例如安全警报电子邮件发送给未受撞库攻击影响的客户。 多年来,其他一流的密码管理器报告的事件数量几乎没有那么多,如果您愿意,可以很容易地切换到其中一个。您还可以检查 LastPass 帐户的安全性,确保它符合最佳实践,包括使用强密码、启用双因素身份验证以及密切关注授权设备。 但是,尽管这种透明度可能令人不安,但潜在的问题并不是密码管理器的一般概念。它们仍然是在线安全的重要组成部分,您可以找到使它们更易于使用的方法,即使面对安全漏洞也是如此。不要直接抛弃他们。