“密码神器”LastPass官方今天透露，攻击者在今年早些时候使用 2022 年 8 月事件中窃取的信息破坏了其云存储后，窃取了客户保险库数据。

此前，该公司首席执行官卡里姆·图巴 (Karim Toubba) 上个月发布了最新更新，仅表示威胁行为者获得了对客户信息“某些元素”的访问权限。

今天，Toubba 补充说，LastPass 使用云存储服务来存储生产数据的存档备份，黑客使用从其开发者环境中窃取的“云存储访问密钥和双存储容器解密密钥”获得了对 Lastpass 云存储的访问权限。

“黑客从备份中复制了包含基本客户账户信息和相关元数据的信息，包括公司名称、最终用户名称、账单地址、电子邮件地址、电话号码以及客户访问 LastPass 服务的 IP 地址，”Karim Toubba今天发布新博文说。

更为严重的是，用户的密码库在此次事件中也被黑客复制。

“黑客还能够从加密存储容器中复制客户保险库数据的备份，该存储容器以专有二进制格式存储，其中包含未加密数据（例如网站 URL）以及完全加密的敏感字段（例如网站）用户名和密码、安全笔记和填写表格的数据。”

一些被盗的数据被“安全加密”

幸运的是，加密数据采用 256 位 AES 加密，只能使用从每个用户的主密码派生的唯一加密密钥进行解密。

根据Toubba的说法，LastPass永远不知道主密码，它不会存储在Lastpass的系统中，LastPass也不会维护它。

虽然Toubba依旧强调，在没有用户本地存储的唯一加密秘钥的情况下无法解密密码，但它也依旧提醒用户，黑客可能会使用暴力穷举、钓鱼网站等方式获取主密码。

因此，如果用户曾经、或是现在仍在使用LastPass，那么最好更改下密码，以确保安全。

同时，LastPass官方也表示，对于此次黑客入侵的调查仍在进行中，并 "致力于让你了解我们的调查结果，并向你更新我们正在采取的行动以及你可能需要采取的任何行动"。