密码管理服务LastPass在8月的时候遭到黑客入侵,未经授权的第三方访问其开发环境,并且盗走程序代码和私有技术,当时官方表示,用户资料和加密密码库皆未受影响,但是经过进一步的调查,LastPass官方承认,黑客入侵开发环境,已经复制客户加密密码库。
黑客在2022年8月时,访问了LastPass云计算存储环境,虽然黑客在8月事件中没有访问用户资料,但是部分源码和技术资讯从开发环境被盗走,并且被用于锁定一名员工,并成功获得凭证和密钥,以访问和解密云计算上的存储。
在官方最新调查中,他们已经确认一旦黑客获得云计算访问密钥,和双存储容器解密密钥,便可从备份中复制资讯,其中包含用户账户资料和相关元数据,包括公司名称、用户名称、账单地址、用户访问LastPass服务所使用的电子邮件、电话号码和IP地址。
同时,黑客还可以从加密存储容器中,复制客户加密密码库的备份,该存储容器以特有的二进制格式存储,其中的资料包含未加密资料,还有经加密的敏感字段、密码与填表资料等。官方提到目前没有证据显示,未加密的信用卡资料曾被访问,也因为LastPass不存储完整的信用卡号,因此信用卡资讯不会在云计算存储环境中留存。
LastPass用户的加密资料使用256位元AES加密,并且只能通过零知识(Zero Knowledge)架构,从每个用户的主密码衍生出来的唯一加密密钥进行解密,LastPass本身不会知道用户的密码,资料的加密和解密只会在LastPass本地客户端进行。
LastPass解释,黑客可能会尝试暴力猜测用户的主密码,并用于解密加密密码库副本,同时黑客还可能针对用户LastPass加密密码库所关联的线上账户,进行网络钓鱼、凭证填充或是各种暴力破解攻击。官方提醒,LastPass不会以电话、电子邮件和短信,要求用户点击连接验证个人资讯,用户应该提高警觉避免被骗。
当用户的主密码被黑客猜中,存储在LastPass的加密资料便可能曝光,官方表示,如果用户遵循他们建议的密码最佳实践,要被猜到主密码非常困难。LastPass用户的主密码在2018年之后,被要求最少要有12个字符,这能大幅降低主密码被暴力破解的几率。
另外,LastPass使用PBKDF2密码密钥衍生函数的100,100次迭代,官方提到,这种密码强划算法,也使得黑客很难猜出主密码。但是当用户在其他网际网络服务重复使用密码,而该密码曾被泄露,则黑客可能会通过凭证填充攻击直接访问账户。
对于使用LastPass密码最佳实践的用户,官方认为不需采取任何建议操作,因为使用目前普遍的密码破解技术来猜测用户的主密码,也需要耗费百万年,但是当用户并非采用最佳实践,则将会大幅减少正确猜测需要的次数,官方建议这些用户应该更改存储的网站密码,以降低安全风险。
而对于实例LastPass联合登录服务的企业用户,官方解释,LastPass采用零知识架构,并且实例隐藏式主密码以加密密码库,根据不同的实例模型,主密码由两个或是多个单独存储的256位元加密随机产生的字符串,以特殊方法组合而成,黑客无法访问用户身份供应商或是LastPass基础设施中的关键密钥片段,因此实例联合登录服务的企业客户,不需要执行额外操作。
LastPass表示,他们检讨8月入侵事件后,完全停用该环境,并且重新创建开发环境,强化开发人员机器、流程和身份验证机制,同时添加额外的日志记录和警示功能,以检测未经授权的活动,同时官方也积极轮换所有可能受影响的凭证和证书,补充现有端点安全性。