PANews 12月25日消息,密碼管理平台LastPass稱一個黑客利用之前他們在2022年8月披露的事件中獲得的信息訪問了一個基於雲的存儲環境,一些消息來源代碼和技術信息被盜,並被用於攻擊另一名員工,以獲取用於訪問和解密基於雲存儲服務中的某些存儲憑證和密鑰。

LastPass已經確定,黑客一旦獲得云存儲訪問密鑰和雙存儲容器解密密鑰,就會從備份中復制信息,其中包含客戶賬戶信息和相關元數據,例如公司名稱、最終用戶名稱、賬單地址、客戶訪問LastPass服務時使用的電子郵件地址、電話號碼和IP地址。此外,黑客還能從加密存儲容器中復制客戶保險庫數據的備份。

黑客可能會嘗試使用暴力來破解用戶的主密碼並解密他們獲取的保險庫數據副本,還可能針對與LastPass保險庫關聯的在線帳戶進行網絡釣魚攻擊。 LastPass稱自2018年以來,要求主密碼至少12個字符。這大大降低了暴力破解密碼的能力。如果用戶使用上述默認設置,使用普遍可用的密碼破解技術猜測您的主密碼需要數百萬年。