LastPass 安全事件更新：强烈建议用户更改密码

关键要点

LastPass 的最新安全事件更新引发了安全研究人员的警示，提醒管理员必须采取必要措施来保护他们的环境。CEO Dan Benjamin 强调，用户应更改他们的 主密码 以及任何在数据库中保存的 2FA 密钥，并建议优先从最重要的服务如电子邮件、银行账户、代码仓库和公司密码开始轮换密码。

Casey Ellis，Bugcrowd 的创始人兼首席技术官表示：“这无疑是一个令人担忧的黑客事件。”他指出，虽然本次通知中未明确涉及同一威胁行为者的身份，但 LastPass 引用 2022 年 8 月事件所获取的信息，值得注意。

“二次泄露和通过初始访问经纪人例如，最近的 Uber 泄露购买的凭证使用上升，安全防御者需考虑此因素。” Casey Ellis

在 12 月 22 日发布的一篇 博客 中，LastPass 表示，根据其至今的调查，一名未知的威胁行为者利用其在 8 月 disclosed 事件中获得的信息，访问了云存储环境。

“尽管在 2022 年 8 月的事件中没有用户数据被访问，但部分源代码和技术信息从我们的开发环境被盗取，并用于针对另一名员工，获取凭证和密钥，进而访问和解密了云存储服务中的某些存储卷。” LastPass 在博客中如此写道。

Dig Security 的联合创始人兼首席执行官 Dan Benjamin 指出，LastPass 一系列泄露事件凸显了 优先考虑云数据安全 的紧迫性，以及实施更强安全措施以保护客户数据的必要性。他提到，传统的数据安全方法在现代 IT 环境中已经多次证明无效。

“最新的 LastPass 泄露起源于云端，任何终端或本地设备都无法检测到该事件。” Benjamin 说道。 “更重要的是，LastPass 报告其最新泄露事件的时间在一个月之前，但在攻击发生时无法确定客户数据是否被泄露。对于数据的可见性包括其内容、位置、受影响的情况及访问信息对迅速有效的泄露反应和防止进一步损害至关重要。”

Netenrich 的首席威胁猎人 John Bambenek 认为，源代码的丢失并不让他担忧。他表示，如果源代码公开，反而能够以类似于加密算法公示的方式验证其零知识声明。“获取加密的数据库更成问题，因为这意味着攻击者只需向人们发送针对性的钓鱼邮件就能获取密码。” Bambenek 如此表示。“密码管理器实质上是个人的单一风险点，行窃者能够获取部分数据库而未被及时发现，令人非常担忧。”