密碼管理公司遭駭　大量客戶個資與密碼外洩

編譯／鄭智懷

密碼管理公司LastPass證實，在2022年12月月初的網路攻擊事件中，駭客竊取了客戶加密密碼保險庫的資料，包含用戶姓名、電子郵件地址、電話號碼、密碼和帳單訊息等個資與機密資料都遭到外洩。

LastPass執行長Karim Toubba發布聲明表示，駭客在本次攻擊事件中，運用自2022年8月的攻擊活動所獲竊取的安全憑證和安全金鑰，進而獲取密碼保險庫備份資料副本。除了個資之外，駭客還能取得保險庫中未加密數據（例如網站 URL）以及完全加密的敏感資料─例如網站用戶名─和密碼等。

Karim Toubba警告，儘管客戶的密碼庫已經加密並且只能用只有客戶知道的主密碼解鎖，駭客可能會透過暴力破解、網路釣魚（Phishing）和社交工程（Social Engineering）等攻擊手段破解或竊取客戶主密碼並獲取密碼庫的副本資料。

Karim Toubba接著提出建議，客戶應該遵照公司的安全規定設置密碼；假使客戶對於攻擊事件有安全上的疑慮，應該考慮通過更改網站密碼降低最大限度的風險。

該份聲明提到，LastPass在8月的攻擊事件後即進一步強化各項資安措施，包括消除外界存取公司設備的潛在管道、加強開發人員的設備、流程和身分驗證。此外，公司還添加了安全日誌和警報功能，以及提升端點檢測與合作廠商的資安合作。目前，公司正與相關執法單位合作，展開攻擊事件的調查，並將隨時與客戶更新相關資訊。

資料來源：TechCrunch、LastPass

瀏覽 956 次