全球最知名的密码管理器,又双叒叕泄露数据了
今年8月,知名在线密码管理器LastPass法律与公告,表示有黑客在侵入系统后窃取了部分源代码,并在大约四天的时间内获得了一些敏感信息。
为此,LastPass还聘请了一家领先的网络安全和取证公司确保数据安全。
最终该公司与来Mandian的安全专家密切合作调查结果显示,没有任何用户数据被泄露。
首席执行官担保,虽然LastPass被黑,但没有任何用户数据泄露。
11月30日,当大部分用户已经忘掉这件事后,LastPass却再次爆出数据泄露事件。
LastPass首席执行官KarimToubba在博文中表示,有黑客访问了LastPass的第三方云存储服务器,并借此获得了部分用户的信息。
博文中并未明确黑客具体窃取了哪些信息、也没有明确有多少用户受到影响。
同时Toubba还称,由于LastPass采用了零知情(ZeroKnowledge)架构,因此虽然出现了数据泄露,但用户的密码仍然是安全加密的。
据悉,所谓的零知情架构就是只有用户知道主密码,加密只发生在设备层面而不是服务器端,LassPass也不会知道,这使得单纯的侵入服务器并不会导致主密码泄露。
目前, LastPass已经确认,此次黑客能够顺利侵入服务器,是因为TA利用了在今年8月被窃取的源代码和专有信息,并借此获得了对数据的访问权限。
值得一提的是,这并非LastPas首次发生数据泄露的问题了。
去年12月,数百名用户在Twitter、reddit等社交平台上发布消息称,自己的LastPass账户主密码被泄露。
他们得到了系统通知称,有不同IP尝试通过他们的主密码登录账号(当用户在不常用地区登录账户时,LastPass会发布邮件通知)。
即使在修改密码后,他们还是会看到来自不同地点的新的登录尝试。
随后LastPass发布了一份声明,指出其安全团队观察到并收到了潜在的未知攻击者撞库尝试的报告。
然而,在LastPass发布声明后,依然有用户反驳称,自己为LastPass设置的主密码是独立的,从未在其他地方使用过,因此不可能是撞库泄露。
再加上不止一名用户在修改主密码后又收到同样的异常警告,如果是撞库,新密码不会这么快也立即泄露。
此外,去年3月,有两个安全研究团队分析发现,LastPass中内置了7种不同的追踪器,可能是用来收集并发送用户个人数据的。
研究人员称,即使LastPass允许用户选择自行关闭这些追踪器,但其依然可能会给用户带来安全风险。
比如,其中一个追踪器就指向了某数据分析平台,其涵盖的业务包括广告合作伙伴对接、广告优化等。
报告还揭示了LastPass在手机客户端需要用户开启的权限。
包括但不限于手机设备品牌型号、生物识别开关状态、精确地理位置、读取SD卡中的内容、录制音频等等。
安全专家称,对于处理极其敏感的数据(密码)的软件来说,LastPass本身并没有广告模块,所以内置这些追踪器完全是没有道理的。
资料显示,LastPass是世界上最大的密码管理公司之一,目前有超过3300万人和10万家企业在使用它。
随着消费者和企业使用该公司的软件安全地存储密码,人们难免担心,如果该公司被黑客攻击,可能会让不法分子访问其存储的密码。
悲观的是,除了LastPass外,Bitwarden、RoboForm和Dashlane等密码管理器此前也被曝光过含有多款追踪器。
说到底,密码这种东西,最终还是保留在自己手里才放心。
-End-
最近有一些小伙伴,让我帮忙找一些 面试题 资料,于是我翻遍了收藏的 5T 资料后,汇总整理出来,可以说是程序员面试必备!所有资料都整理到网盘了,欢迎下载!
面试题
】即可获取