領(lǐng)先密碼管理器之一LastPass近日表示，黑客已經(jīng)奪取關(guān)于用戶的大量個人信息，包括以加密及加密哈希方式保存在客戶保險庫中的密碼和其他數(shù)據(jù)。

上周四公布的新消息，也代表著最初于今年8月披露的LastPass漏洞事件迎來重大更新。當(dāng)時，該公司表示惡意黑客通過某個受感染的開發(fā)者賬戶，獲得了對部分產(chǎn)品開發(fā)環(huán)境的未授權(quán)訪問，拿到了“部分源代碼和LastPass的一些專有技術(shù)信息”。該公司當(dāng)時表示，客戶的主密碼、加密密碼、個人信息和存儲在賬戶內(nèi)的其他數(shù)據(jù)并未受到影響。

已加密和未加密敏感數(shù)據(jù)均遭復(fù)制

在上周四的更新中，該公司表示黑客訪問到個人信息和相關(guān)元數(shù)據(jù)，包括企業(yè)名稱、最終用戶名稱、賬單地址、電子郵件地址、電話號碼和客戶用于訪問LastPass服務(wù)的IP地址。黑客還復(fù)制了客戶保險庫的數(shù)據(jù)備份，其中包含網(wǎng)站URL等未加密數(shù)據(jù)，以及網(wǎng)站用戶名/密碼、安全注釋和表單數(shù)據(jù)等加密字段。

LastPass公司CEO Karim Toubba寫道：“這些加密字段通過256位AES加密保障安全，根據(jù)我們的零知識架構(gòu)，其只能由每位用戶的主密碼所派生的唯一加密密鑰進行解密?！边@無疑是在強調(diào)該公司所采用的強大高級加密方案，而所謂零知識是指服務(wù)提供商自己也無法對存儲內(nèi)容進行解密。這位CEO還進一步補充道：

“提醒大家，LastPass永遠(yuǎn)無法知曉主密碼內(nèi)容，主密碼也不會由LastPass進行存儲或維護。數(shù)據(jù)的加密和解密僅在本地LastPass客戶端上執(zhí)行?！?/p>

此次更新提到，在截至目前的調(diào)查當(dāng)中，該公司并未發(fā)現(xiàn)有未加密的信用卡數(shù)據(jù)遭到訪問的跡象。LastPass不會存儲完整的信用卡數(shù)據(jù)，而且信用卡相關(guān)信息被保存在與惡意黑客所訪問的云存儲環(huán)境不同的其他環(huán)境當(dāng)中。

8月的披露消息還指出，黑客竊取LastPass源代碼和專有技術(shù)信息所采取的方法，似乎與Twilio遭遇的另一起入侵有關(guān)。Twilio是一家總部位于舊金山的雙因素身份驗證與通信服務(wù)提供商。在Twilio入侵事件中，黑客竊取到163位客戶的數(shù)據(jù)。攻擊Twilio的網(wǎng)絡(luò)釣魚分子還至少入侵了其他136家企業(yè)，LastPass正是其中之一。

周四的更新稱，惡意黑客可能是使用從LastPass處竊取到的源代碼和技術(shù)信息對某位LastPass員工發(fā)動后續(xù)攻擊，借此獲取了安全憑證和密鑰，從而訪問并解密了該公司存放在云存儲服務(wù)中的存儲卷。

Toubba解釋道：“到目前為止，我們已經(jīng)確定只要獲得云存儲訪問密鑰和雙存儲容器解密密鑰，黑客就能從備份中復(fù)制信息，包括客戶賬戶基礎(chǔ)信息和相關(guān)元數(shù)據(jù)，例如企業(yè)名稱、最終用戶名稱、賬單地址、電子郵件地址、電話號碼以及客戶訪問LastPass服務(wù)的IP地址。黑客還能從加密存儲容器中復(fù)制客戶保險庫數(shù)據(jù)的備份。此備份以專有的二進制格式存儲，其中包含網(wǎng)站URL等未加密數(shù)據(jù)，以及網(wǎng)站用戶名-密碼、安全注釋和表單數(shù)據(jù)等經(jīng)過完全加密的敏感字段。”

LastPass公司的代表并未回應(yīng)有多少客戶的數(shù)據(jù)遭到黑客復(fù)制。

立刻馬上加強安全保障

周四的更新還列出了LastPass在數(shù)據(jù)泄露之后，為了增強安全性而采取的幾項補救措施。具體包括停用被黑客竊取的開發(fā)代碼、從零開始重建，保留托管端點檢測和響應(yīng)服務(wù)，以及輪換掉所有可能受到影響的憑證與證書。

鑒于LastPass存儲的數(shù)據(jù)頗為敏感，如此廣泛的個人數(shù)據(jù)落入黑客手中自然令人擔(dān)憂。同樣值得關(guān)注的是，用戶保險庫現(xiàn)在也已經(jīng)被黑客所奪取。雖然破解加密哈希值需要大量資源，但其中仍存在理論可行性。對于精心謀劃此次攻擊的黑客來說，破解數(shù)據(jù)內(nèi)容恐怕只是意愿問題。

因此，LastPass客戶應(yīng)變更主密碼和存儲在保險庫內(nèi)的所有密碼，同時修改LastPass的默認(rèn)設(shè)置。默認(rèn)設(shè)置使用基于密碼的密鑰派生函數(shù)（PBKDF2）進行100100次迭代，由此對存儲的密碼執(zhí)行哈希處理。這種哈希方法能夠保證唯一且隨機生成的長主密碼難以被破解。但需要注意的是，100100次迭代這一數(shù)量遠(yuǎn)低于OWASP提出的建議次數(shù)。OWASP建議LastPass將PBKDF2與SHA256哈希算法配合使用，并將迭代閾值提升至310000次。

無論大家是否身為LastPass用戶，都建議各位在Have I been Pwned?上創(chuàng)建一個賬戶，盡快了解自己是否受到安全違規(guī)事件的影響。

最后，LastPass用戶還應(yīng)格外警惕那些據(jù)稱來自LastPass或其他敏感數(shù)據(jù)服務(wù)的網(wǎng)絡(luò)釣魚郵件和電話，特別是利用泄露個人數(shù)據(jù)實施的網(wǎng)絡(luò)詐騙。LastPass公司還為采用聯(lián)動登錄服務(wù)的企業(yè)客戶提供了更多具體建議。