吳明宜密碼管理服務 LastPass 上周四表示,一名駭客於上個月駭入公司網路,複製了包含客戶帳號資訊的備份。
LastPass 表示,今年 8 月該公司外洩事件外流了某名員工的帳號資訊,而在 12 月 1 日一名駭客利用了這些資訊,借道該公司使用的第三方雲端儲存服務以及合作夥伴 GoTo Technologies USA,成功得以存取其系統。
LassPass 也公佈了調查進度。調查發現駭客已成功存取了雲端儲存,複製了包含基本客戶帳號資訊和相關 metadata,像是公司名稱、用戶名稱、帳單地址、電子郵件、電話號碼、和客戶存取 LastPass 的 IP 位址。
此外駭客還從一個加密的儲存容器中複製了客戶儲存庫 (vault) 資料備份。這些資料是以專屬的二進位格式儲存,其中有未加密資料像是網站 URL,以及全加密的欄位資料,如網站用戶名稱、密碼、安全記事,以及表單資料。也就是說,駭客竊得了一份加密的密碼儲存庫備份。
LastPass 指出,加密欄位是以 256-bit AES 加密保護著。需要從每位使用者的主密碼獲得的獨立加密金鑰,才能完成加密,而 LastPass 不知道,也不儲存這個主密碼。
雖然客戶儲存庫資料經過加密,但並不意謂駭客蒐集到的資料不會用於非法意圖。 LastPass 警告,攻擊者可能透過暴力破解主密碼,並解密儲存庫資料,但它另一方面又說,如果客戶遵循最佳典範(例如設定足夠長度和強度的密碼),要暴力破解就很困難。
LastPass 又警告,駭客可能對客戶發動釣魚攻擊、帳號填充或其他暴力破解方法攻擊。
雖然 LastPass 一旦遭到外洩會公佈,但作為一個儲存數百萬用戶的密碼管理服務,經常發生安全事件並不是一件好事。除了今年的 2 次攻擊,LastPass 2015 、 2017 和 2019 都發生過被駭。去年 12 月 LastPass 用戶收到有人異常存取自己帳號的通知。 LastPass 母公司 LogMeIn 表示可能是駭客發動帳號填充攻擊,企圖掌控用戶的帳號。今年 1 月,LastPass 又發生斷線,但該公司後來才坦承是臭蟲造成。