领先密码管理器之一LastPass近日表示,黑客已经夺取关于用户的大量个人信息,包括以加密及加密哈希方式保存在客户保险库中的密码和其他数据。
上周四公布的新消息,也代表着最初于今年8月披露的LastPass漏洞事件迎来重大更新。当时,该公司表示恶意黑客通过某个受感染的开发者账户,获得了对部分产品开发环境的未授权访问,拿到了“部分源代码和LastPass的一些专有技术信息”。该公司当时表示,客户的主密码、加密密码、个人信息和存储在账户内的其他数据并未受到影响。
已加密和未加密敏感数据均遭复制
在上周四的更新中,该公司表示黑客访问到个人信息和相关元数据,包括企业名称、最终用户名称、账单地址、电子邮件地址、电话号码和客户用于访问LastPass服务的IP地址。黑客还复制了客户保险库的数据备份,其中包含网站URL等未加密数据,以及网站用户名/密码、安全注释和表单数据等加密字段。
LastPass公司CEO Karim Toubba写道:“这些加密字段通过256位AES加密保障安全,根据我们的零知识架构,其只能由每位用户的主密码所派生的唯一加密密钥进行解密。”这无疑是在强调该公司所采用的强大高级加密方案,而所谓零知识是指服务提供商自己也无法对存储内容进行解密。这位CEO还进一步补充道:
“提醒大家,LastPass永远无法知晓主密码内容,主密码也不会由LastPass进行存储或维护。数据的加密和解密仅在本地LastPass客户端上执行。”
此次更新提到,在截至目前的调查当中,该公司并未发现有未加密的信用卡数据遭到访问的迹象。LastPass不会存储完整的信用卡数据,而且信用卡相关信息被保存在与恶意黑客所访问的云存储环境不同的其他环境当中。
8月的披露消息还指出,黑客窃取LastPass源代码和专有技术信息所采取的方法,似乎与Twilio遭遇的另一起入侵有关。Twilio是一家总部位于旧金山的双因素身份验证与通信服务提供商。在Twilio入侵事件中,黑客窃取到163位客户的数据。攻击Twilio的网络钓鱼分子还至少入侵了其他136家企业,LastPass正是其中之一。
周四的更新称,恶意黑客可能是使用从LastPass处窃取到的源代码和技术信息对某位LastPass员工发动后续攻击,借此获取了安全凭证和密钥,从而访问并解密了该公司存放在云存储服务中的存储卷。
Toubba解释道:“到目前为止,我们已经确定只要获得云存储访问密钥和双存储容器解密密钥,黑客就能从备份中复制信息,包括客户账户基础信息和相关元数据,例如企业名称、最终用户名称、账单地址、电子邮件地址、电话号码以及客户访问LastPass服务的IP地址。黑客还能从加密存储容器中复制客户保险库数据的备份。此备份以专有的二进制格式存储,其中包含网站URL等未加密数据,以及网站用户名-密码、安全注释和表单数据等经过完全加密的敏感字段。”
LastPass公司的代表并未回应有多少客户的数据遭到黑客复制。
立刻马上加强安全保障
周四的更新还列出了LastPass在数据泄露之后,为了增强安全性而采取的几项补救措施。具体包括停用被黑客窃取的开发代码、从零开始重建,保留托管端点检测和响应服务,以及轮换掉所有可能受到影响的凭证与证书。
鉴于LastPass存储的数据颇为敏感,如此广泛的个人数据落入黑客手中自然令人担忧。同样值得关注的是,用户保险库现在也已经被黑客所夺取。虽然破解加密哈希值需要大量资源,但其中仍存在理论可行性。对于精心谋划此次攻击的黑客来说,破解数据内容恐怕只是意愿问题。
因此,LastPass客户应变更主密码和存储在保险库内的所有密码,同时修改LastPass的默认设置。默认设置使用基于密码的密钥派生函数(PBKDF2)进行100100次迭代,由此对存储的密码执行哈希处理。这种哈希方法能够保证唯一且随机生成的长主密码难以被破解。但需要注意的是,100100次迭代这一数量远低于OWASP提出的建议次数。OWASP建议LastPass将PBKDF2与SHA256哈希算法配合使用,并将迭代阈值提升至310000次。
无论大家是否身为LastPass用户,都建议各位在Have I been Pwned?上创建一个账户,尽快了解自己是否受到安全违规事件的影响。
最后,LastPass用户还应格外警惕那些据称来自LastPass或其他敏感数据服务的网络钓鱼邮件和电话,特别是利用泄露个人数据实施的网络诈骗。LastPass公司还为采用联动登录服务的企业客户提供了更多具体建议。