密码管理平台LastPass披露一起安全事件,建议主密码未遵循默认值的用户更改密码
金融报道,在线密码管理平台 LastPass 披露称,未经授权的一方有权访问第三方云存储服务,LastPass 使用该服务存储其生产数据的存档备份。根据 LastPass 调查显示,一个未知的攻击者使用它 LastPas 之前在 2022 年 8 月度披露事件中获得的信息访问了一个基于云的存储环境,一些信息源代码和技术信息从开发环境中被盗,并被用来攻击另一名员工,获得一些基于云的存储凭证和密钥进行访问和解密。 LastPass 确定一旦获得云存储访问密钥和双存储容器解密钥,攻击者将从备份中复制信息,包括公司名称、最终用户名称、账单地址、客户访问等基本客户账户信息和相关元数据 LastPass 电子邮件地址、电话号码和服务中使用的电子邮件 IP 地址。 LastPass 称自 2018 自年以来,它至少要求主密码 12 一个字符可以大大降低暴力猜测密码的能力。若用户的主密码不遵循上述默认值,LastPass 建议用户考虑通过更改存储的网站密码来降低风险。