在线密码保管服务LastPass周一发布报告称,该公司的网络上周五被黑客攻破,用户的邮箱地址、密码提示、身份认证等信息都在攻击中被黑客盗走。LastPass提醒用户尽快更改账号密码并改用其他网站。
上周,LastPass一发现该攻击后立马停止了其网络上被黑部分的活动,并对此展开了调查。LastPass在报告中指出,虽然加密的用户数据库在攻击中被盗走,但并没有迹象表明用户账号遭到不法分子的登入。
Lastpass是一个在线密码管理器和页面过滤器,采用了强大的加密算法(使用了256位的AES密匙),可帮助用户保存多个网站的密码,随后自动登录这些网站。不过,LastPass的自动填写功能,密码能够以明文存储的方式记录到计算机的内存,黑客可以通过内存转储提取密码。
Lastpass联合创始人及CEO Joe Siegrist 称已对认证哈希(Hash函数,一种计算机算法)加强了防护,采用了随机因子并在客户端外的PBKDF2-SHA256服务器端实施了10万个循环。这将大大加大快速攻击被盗哈希的难度。
这并非Lastpass首次遭到黑客攻击,早在2011年,Lastpass同样遭到黑客攻击而导致部分加密数据泄露。LastPass迅速锁定了所有的帐户防止被非法登陆,并通过电子邮件通知用户确认电子邮箱并更改更强壮的主密码重新启用帐户以确保数据安全。大量更改主密码的操作还导致了LastPass服务器当机。在2013年,Lastpass曾被爆存在安全漏洞,允许攻击者获取存储的LastPass密码。不过此次漏洞只对使用IE浏览器的用户有影响,且LastPass很快修补了该漏洞。
目前,尚不清楚有多少用户在此次攻击中受到影响。LastPass提醒用户尽快更改账号密码并改用其他网站,此外,如果用户使用一台新设备或一个新IP地址登入时,最好通过邮件认证登录。
正在生成分享图...
吴优