全球最知名的密码管理器,又双叒叕泄露数据了

源码共读

共 1924字,需浏览 4分钟

 ·

2023-02-04 11:46

👇👇关注后回复 “进群” ,拉你进程序员交流群👇👇


今年8月,知名在线密码管理器LastPass法律与公告,表示有黑客在侵入系统后窃取了部分源代码,并在大约四天的时间内获得了一些敏感信息。


为此,LastPass还聘请了一家领先的网络安全和取证公司确保数据安全。


最终该公司与来Mandian的安全专家密切合作调查结果显示,没有任何用户数据被泄露。


首席执行官担保,虽然LastPass被黑,但没有任何用户数据泄露。



11月30日,当大部分用户已经忘掉这件事后,LastPass却再次爆出数据泄露事件。


LastPass首席执行官KarimToubba在博文中表示,有黑客访问了LastPass的第三方云存储服务器,并借此获得了部分用户的信息。


博文中并未明确黑客具体窃取了哪些信息、也没有明确有多少用户受到影响。


同时Toubba还称,由于LastPass采用了零知情(ZeroKnowledge)架构,因此虽然出现了数据泄露,但用户的密码仍然是安全加密的。



据悉,所谓的零知情架构就是只有用户知道主密码,加密只发生在设备层面而不是服务器端,LassPass也不会知道,这使得单纯的侵入服务器并不会导致主密码泄露。


目前, LastPass已经确认,此次黑客能够顺利侵入服务器,是因为TA利用了在今年8月被窃取的源代码和专有信息,并借此获得了对数据的访问权限。



值得一提的是,这并非LastPas首次发生数据泄露的问题了。


去年12月,数百名用户在Twitter、reddit等社交平台上发布消息称,自己的LastPass账户主密码被泄露。


他们得到了系统通知称,有不同IP尝试通过他们的主密码登录账号(当用户在不常用地区登录账户时,LastPass会发布邮件通知)。


即使在修改密码后,他们还是会看到来自不同地点的新的登录尝试。


随后LastPass发布了一份声明,指出其安全团队观察到并收到了潜在的未知攻击者撞库尝试的报告。


然而,在LastPass发布声明后,依然有用户反驳称,自己为LastPass设置的主密码是独立的,从未在其他地方使用过,因此不可能是撞库泄露。


再加上不止一名用户在修改主密码后又收到同样的异常警告,如果是撞库,新密码不会这么快也立即泄露。



此外,去年3月,有两个安全研究团队分析发现,LastPass中内置了7种不同的追踪器,可能是用来收集并发送用户个人数据的。


研究人员称,即使LastPass允许用户选择自行关闭这些追踪器,但其依然可能会给用户带来安全风险。


比如,其中一个追踪器就指向了某数据分析平台,其涵盖的业务包括广告合作伙伴对接、广告优化等。



报告还揭示了LastPass在手机客户端需要用户开启的权限。


包括但不限于手机设备品牌型号、生物识别开关状态、精确地理位置、读取SD卡中的内容、录制音频等等。


安全专家称,对于处理极其敏感的数据(密码)的软件来说,LastPass本身并没有广告模块,所以内置这些追踪器完全是没有道理的。



资料显示,LastPass是世界上最大的密码管理公司之一,目前有超过3300万人和10万家企业在使用它。


随着消费者和企业使用该公司的软件安全地存储密码,人们难免担心,如果该公司被黑客攻击,可能会让不法分子访问其存储的密码。


悲观的是,除了LastPass外,Bitwarden、RoboForm和Dashlane等密码管理器此前也被曝光过含有多款追踪器。


说到底,密码这种东西,最终还是保留在自己手里才放心。

-End-

最近有一些小伙伴,让我帮忙找一些 面试题 资料,于是我翻遍了收藏的 5T 资料后,汇总整理出来,可以说是程序员面试必备!所有资料都整理到网盘了,欢迎下载!

点击👆卡片,关注后回复【面试题】即可获取

在看点这里好文分享给更多人↓↓

浏览 7
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报