據Bleeping Computer報道，LastPass當地時間12月22日透露，攻擊者在今年早些時候使用2022年8月事件中竊取的信息侵入其云存儲，竊取了客戶的保險庫數據。

此前，11月30日，該公司首席執行官卡里姆·圖巴（Karim Toubba）曾公開承認遭黑客攻擊致數據泄露，但他表示黑客僅獲得了部分客戶的關鍵信息，客戶的密碼仍被安全加密。這是一年內LastPass發生的兩次因云存儲漏洞而發生的安全事件。

該公司透露，8月事件的攻擊者在被驅逐之前，對其內部系統訪問了四天。

攻擊者利用從Lastpass開發者環境中竊取的“云存儲訪問密鑰和雙存儲容器解密密鑰”，獲得了對Lastpass云存儲的訪問。

圖巴稱，LastPass使用云存儲服務來存儲生產數據的存檔備份。“威脅者從備份中復制了包含客戶基本賬戶信息和相關元數據的信息，包括公司名稱、最終用戶名稱、賬單地址、電子郵件地址、電話號碼以及客戶訪問LastPass服務的IP地址。”

“威脅者還能夠從加密的存儲容器中復制客戶的保險庫數據備份，這些數據以專有的二進制格式存儲，既包含未加密的數據如網站URL，也包含完全加密的敏感字段如網站用戶名、密碼、安全筆記和表格填寫的數據。”

但是，LastPass堅稱用戶的加密數據和主密碼仍是安全的。圖巴稱，LastPass從不知道主密碼，它不存儲在Lastpass的系統上，LastPass也不維護主密碼。

加密數據則采用256位AES加密，只有用每個用戶的主密碼得出的唯一加密密鑰才能解密。

圖巴表示，“客戶的敏感保險庫數據，如用戶名和密碼、安全筆記、附件和表格填寫字段，仍然是基于LastPass的零信任架構進行安全加密。"

公開信息顯示，LastPass是一個在線密碼管理器和頁面過濾器，采用了強大的加密算法，自動登錄/云同步/跨平臺/支持多款瀏覽器。該公司聲稱其產品有超過10萬家企業、3300萬人員正在使用，是全球最大的在線密碼管理軟件。

參考鏈接：https://www.bleepingcomputer.com/news/security/lastpass-hackers-stole-customer-vault-data-in-cloud-storage-breach/