密碼管理公司遭駭 大量客戶個資與密碼外洩

編譯/鄭智懷

密碼管理公司LastPass證實,在2022年12月月初的網路攻擊事件中,駭客竊取了客戶加密密碼保險庫的資料,包含用戶姓名、電子郵件地址、電話號碼、密碼和帳單訊息等個資與機密資料都遭到外洩。

LastPass執行長Karim Toubba發布聲明表示,駭客在本次攻擊事件中,運用自2022年8月的攻擊活動所獲竊取的安全憑證和安全金鑰,進而獲取密碼保險庫備份資料副本。除了個資之外,駭客還能取得保險庫中未加密數據(例如網站 URL)以及完全加密的敏感資料─例如網站用戶名─和密碼等。

Karim Toubba警告,儘管客戶的密碼庫已經加密並且只能用只有客戶知道的主密碼解鎖,駭客可能會透過暴力破解、網路釣魚(Phishing)和社交工程(Social Engineering)等攻擊手段破解或竊取客戶主密碼並獲取密碼庫的副本資料。

圖/123RF

Karim Toubba接著提出建議,客戶應該遵照公司的安全規定設置密碼;假使客戶對於攻擊事件有安全上的疑慮,應該考慮通過更改網站密碼降低最大限度的風險。

該份聲明提到,LastPass在8月的攻擊事件後即進一步強化各項資安措施,包括消除外界存取公司設備的潛在管道、加強開發人員的設備、流程和身分驗證。此外,公司還添加了安全日誌和警報功能,以及提升端點檢測與合作廠商的資安合作。目前,公司正與相關執法單位合作,展開攻擊事件的調查,並將隨時與客戶更新相關資訊。

資料來源:TechCrunchLastPass

瀏覽 960 次

覺得不錯的話就分享出去吧!

發佈留言

Back to top button