客户仓库数据被窃取

密码管理巨头LastPass透露，去年8月入侵该公司的黑客窃取了加密的客户金库数据和未加密的账户信息。

此前，该公司曾表示，该事件只是导致源代码和LastPass的一些专有技术信息遭到破坏。

到了11月底，随着LastPass透露客户信息的某些部分被窃取，事情变得更加复杂。

在昨日一份冗长的更新中，该公司透露，8月份的事件导致黑客从该公司的开发环境中获得源代码和技术信息，随后用于攻击另一名员工。

通过这种方式，他们获得了凭据和密钥，然后用于访问和解密该公司基于云的存储服务中的一些存储卷。

这包括客户保险库数据的备份，包括未加密的数据，如网站url，以及完全加密和高度敏感的数据，如网站用户名和密码。

LastPass首席执行官Karim Toubba在更新中表示:“这些加密字段仍然使用256位AES加密，只有使用我们的零知识架构从每个用户的主密码中提取的唯一加密密钥才能解密。”

他补充道：“提醒一下，LastPass永远不知道主密码，LastPass也不存储或维护主密码。数据的加密和解密仅在本地LastPass客户端上执行。”

Toubba声称，如果客户使用LastPass默认主密码设置，黑客需要数百万年才能破解他们的凭证。

他补充说：“然而，重要的是要注意，如果你的主密码不使用默认密码，那么它将大大减少猜测正确所需的次数。在这种情况下，作为一种额外的安全措施，你应该考虑通过更改已存储网站的密码来降低风险。”

客户还可能面临大量利用黑客窃取的未加密账户信息进行网络钓鱼的尝试。

被盗的数据包括公司名称、终端用户名称、账单地址、电子邮件地址、电话号码和客户访问LastPass服务的IP地址。