LastPass数据泄露引发全球恐慌

上周五密码管理器厂商LastPass透露其云存储设施遭黑客入侵,大量客户保险库敏感数据疑遭泄露。

这是LastPass自今年年初以来披露的第二起安全事件,此前该公司曾在8月份确认黑客使用泄露的开发人员账号访问了其开发环境。

根据LastPass的最新通告,最新泄露事件中攻击者使用的正是8月份从其开发人员环境中窃取的“云存储访问密钥和双存储容器解密密钥”访问了Lastpass的云存储设施。

上个月LastPass曾发布8月份黑客攻击事件的通告,当时该公司首席执行官卡里姆·图巴(Karim Toubba)含糊其辞地表示黑客“仅获得了客户信息的某些元素”。在发送给客户的电子邮件中,Lastpass还证实攻击者从其系统中窃取了专有技术信息和产品源代码。

在后续更新中,该公司还曾透露,八月的网络攻击中,黑客在其系统中驻留(保持内部访问权)了四天。

到底哪些数据泄露了?

LastPass首席执行官Toubba表示:“攻击者非法访问了用户的基本帐户信息和相关元数据信息。包括公司名称、最终用户名称、账单地址、电子邮件地址、电话号码以及客户访问LastPass服务的IP地址。(编者:此部分信息为明文未加密)”

“攻击者还从加密存储容器中复制了客户保险库数据的备份,保险库数据以专有的二进制格式存储,其中包含未加密的数据,例如网站URL,以及完全加密的敏感字段,例如网站用户名和密码,安全注释和表单填写的数据。”(下图虚线部分)

根据LastPass的说法,泄露的用户保险库数据使用了256位AES加密保护,并且只能用用户主密码(Master Password)派生的唯一加密密钥进行解密。

Toubba表示,用户的主密码永远不会为LastPass所知,它不会存储在Lastpass的系统上,并且LastPass也不会维护它。

但LastPass客户被警告说,攻击者可能会试图暴力破解他们的主密码,以访问被盗的加密保管库数据。LastPass声称,如果用户始终遵循LastPass推荐的密码最佳实践,这将非常困难和耗时。

如果用户设置了正确的主密码,则不用过于担心,因为“使用常见密码破解技术猜测主密码需要数百万年,”Toubba补充道:“您的保险库数据,例如用户名和密码,安全笔记,附件,和表单填写字段,都基于LastPass的零知识架构进行了安全加密。”

为何引发全球用户恐慌?

LastPass的密码管理软件在全球拥有超过3300万个人用户和10万家企业用户,其用户数据大规模泄露引发了全球性恐慌,甚至波及其他密码管理器产品的用户。

虽然LastPass宣称泄露的是加密后的用户数据库,黑客破解很困难。但慢雾科技创始人余弦认为用户面临的风险依然很高。他在推特上建议LastPass的企业用户立刻更改在该密码管理器中存储过的账户密码,并警告说:

“根据官方披露的信息来看,至少虚线里的信息许多是泄露的,包括Encrypted Vault,这里面就有你那些最关键的密码等隐私。那么后面的游戏就变成:如果你的Master Password也被黑客知道了,那就全完了…”

“黑客要知道你的Master Password是有方法的,碰撞难度应该挺大,但如果通过其他泄漏源做分析,那就有一定概率可以知道。黑客之后可以玩概率统计游戏,反正LastPass用户那么多…”

余弦进一步警告说:“更糟糕的是,黑客还拿到了许多明文(用户隐私)信息,”如:

  • 企业名称、最终用户名、账单地址、邮件地址、电话号码、用户访问LastPass服务的IP地址…
  • 用户密码库里未加密的数据,例如网站地址…

余弦指出,虽然之前推荐了1Password和Bitwarden,但不排除二者将来也有可能发生类似的数据泄露安全事故,因此密码管理器用户应该提高警惕,时刻做好响应的准备。

密码管理器风险预防与缓解六大建议

GoUpSec咨询多位安全专家后,总结了密码管理器个人用户的六大风险预防与缓解建议,如下:

  • 如果可能,只用开源且不能上传服务器的密码管理器(例如Keepass),或者关闭云同步功能(例如仅使用1Password的本地同步功能),避免使用浏览器插件等“方便的密码管理器扩展功能”。该方法虽然会牺牲一些(团队管理)功能和便利性,但是对于个人用户来说,安全性更好。
  • 设置一个足够强大和独特的主密码(Master Password),并且单独(物理)记录和存放,不可以任何格式(包括图片)存储在任何联网设备中。
  • 在密码管理器中不要在明文区域存储敏感信息。
  • 给密码管理器中存储的密码“加盐”(密码的一部分片段为密写或者用符号代替的子密码,子密码独立于密码管理器记录和存储)。
  • 开启密码管理器的多因素认证,并且使用硬件密钥或APP认证程序等认证因素而不是短信密码。
  • 面对类似LastPass的用户数据泄露事件,请立刻更改所有存储在密码管理器中的账户密码,并遵循以上安全建议。

前一篇议程预告 | 第二届 全球DevSecOps敏捷安全大会
后一篇周刊 | 网安大事回顾(2022.12.19—2022.12.25)