幣安執行長趙長鵬(CZ)昨日向用戶示警熱門密碼管理工具 LastPass 近日延燒的資安事件,駭客竊取大量用戶敏感資料,但目前對客戶儲存的密碼沒有影響,呼籲有使用該服務的用戶做好 2FA 措施。
(前情提要:幣安警告:部分幣種交易異常波動!CZ稱「已暫停」獲利帳戶提款 )
(背景補充:幣安下架MITH》秘銀要求CZ歸還「20萬枚BNB押金」!現值超5200萬鎂 )
熱門密碼管理工具 LastPass 開發商執行長 Karim Toubba 週五(23 日)於公告中披露,有攻擊者利用今年 8 月發生的代碼洩漏事件,獲取第三方雲端服務訪問權限,以竊取該公司存在雲端的資料庫備份數據,除了大量用戶敏感資料遭洩漏外,駭客還可能嘗試透過暴力破解的方式想辦法解密用戶儲存的密碼。
此起 Web2 安全事件受到幣安執行長趙長鵬(CZ)的關注,他昨日在推特上向用戶示警 LastPass 事件稱:
LastPass 最近遭遇資料外洩。 我之前在我的部落格文章中推薦過這個密碼管理工具。 儘管該公司聲稱最近的攻擊對客戶密碼沒有影響,因為應是在客戶端加密的,但還是最好確保您啟用雙重/兩步驟驗證(2FA)。
LastPass 提供了更新,駭客擁有包括未加密的電子郵件地址和網站 URL 等用戶資訊。 如果您重複使用主密碼或主密碼設置較弱,駭客有可能有此竊取用戶的所有憑證。
延伸閱讀:幣安 CZ 示警:偵測到有人在暗網出售上達「10億條居民記錄」
LastPass provided an update. The hacker has all the user info including email address and websites URLs unencrypted. If the you reused passwords for the master password or has a weak master password, then it is possible for the hacker to obtain all of his/her credentials.
— CZ 🔶 Binance (@cz_binance) December 23, 2022
Last Pass 解釋影響程度
根據該公司聲明,LastPass 於 8 月發生部分原始碼洩漏,該公司稱當時未發現對客戶數據或加密密碼庫的任何入侵,但部分原始碼和技術資訊遭盜取,這被駭客用來攻擊另一名開發者員工。
12 月 1 日,該公司再宣布在第三方雲端服務中檢測到異常活動,並證實在調查中發現,攻擊者一旦獲得雲端服務訪問金鑰,和雙儲存庫解密金鑰,即可從獲取包括用戶帳戶資料和包括公司名、用戶名、帳單地址、註冊電子郵件、電話號碼和 IP 地址等相關數據。同時,駭客還可以從加密儲存容器中複製客戶密碼庫的備份資料,包含未加密資料(例如網站 URL),還有經完全加密的敏感欄位,例如用戶管理的帳號、密碼與填表資料等。
該公司稱,客戶的密碼仍處於安全加密狀態。「這些加密字段只能使用我們的零知識架構從每個用戶的主密碼派生的唯一金鑰解鎖。而相關的主密碼只有客戶自己知道,不會由 LastPass 儲存或維護。數據的加密和解密僅在本地 LastPass 客戶端上執行。」
官方還提到,目前沒有證據表明任何未加密的信用卡數據曾被存取,因為 LastPass 不會儲存完整的信用卡號,因此信用卡資訊也不會在此雲端儲存環境中留存。
但官方也指出,駭客可能會「嘗試使用暴力破解你的主密碼」,雖然困難度極高,但為安全起見,用戶應「永遠不要在其他網站上重複使用主密碼」。也建議主密碼較弱的用戶需要更改他們儲存在該服務中的個人密碼。
重要的是要注意,如果您的主密碼沒有使用[公司推薦的最佳實踐],那麼它將大大減少正確猜測所需的嘗試次數。在這種情況下,作為一項額外的安全措施,您應該考慮通過更改您儲存的網站密碼來將風險降至最低。
📍相關報導📍
CZ澄清:幣安從未做空FTT,仍持有大量未賣!再警告授權第三方API密鑰可能遭盜