学分:Ian Moore / Mashable Composite; Miragec / Moment / OliverWolfson / Istock / Getty
早在2022年8月,密码经理LastPass遭受了。
仍然不知所措的网络罪犯成功地目标LastPass的“四个DevOps工程师”之一,他们可以访问云存储服务的解密密钥。使用工程师的被盗凭据,黑客能够渗入未被发现的LastPass系统。这种漏洞持续了几个月,即使在上一次赛事认为威胁已包含的情况下,也持续了几个月。
LastPass漏洞使威胁参与者能够访问“备份客户金库数据”。根据公司的说法,加密数据(例如用户名和密码以及网站URL等未加密数据)受到影响。
大公司和在线平台的违规并不是什么新鲜事。对于LastPass违规,黑客也不需要找到一些技术缺陷来利用。
通过针对在这些公司工作的人类,使用社会工程等策略,每个组织在技术上都有可以利用的弱点。
但是,LastPass的漏洞是不同的。
黑客违反了一个密码管理器,该平台旨在保护您的密码,并可以为您的每个登录使用高度安全的凭据。事实证明,对于黑客来说,它非常成功。
违反密码经理对黑客有利可图
在过去的几个月中,有一个数字的报告详细说明上次通道漏洞似乎是如何链接与加密货币有关的抢劫。据称,由于最后的通行证违反了据称,数亿美元被盗。
在此类事件中,美国联邦调查员宣称最后的通道违规似乎是加密货币抢劫的根源,该抢劫案导致去年的加密钱包被偷走了1.5亿美元。当局发现登录凭证存储在受害者的密码经理中后得出了这一结论。此外,调查人员没有发现任何证据表明受害者的设备被黑客入侵。
可混合的轻速速度
看来最糟糕的情况还没有到来。
得益于黑客在LastPass入侵中的成功,密码管理器现在受到攻击。黑客意识到,当目标用户定位时,他们可以访问所有登录凭据,如果他们可以闯入目标的密码管理器时,他们可以访问所有登录凭据。
这是黑客如何磨练密码管理器的一个很好的例子,甚至是为了瞄准它们的创意。
在上次通道违规后仅一年半,威胁演员以某种方式超越了苹果通常的严格审核过程,以说服该公司批准在App Store中。 LastPass冒名顶替者基本上是一个网络钓鱼应用程序,试图欺骗LastPass用户认为它是官方应用程序,因此他们将输入其登录凭据,然后将其归于创建它的坏演员。目前尚不清楚该特定事件影响了多少个(如果有的话),但它显示了网络罪犯在针对密码管理人员方面的长度。
但是,不要愚弄这只是最后一个通道。黑客通常针对密码管理人员。一个上个月从网络安全公司Picus Security发布的发现,所有恶意软件中有25%现在针对密码管理器或其他凭证存储服务。
“威胁参与者正在利用复杂的提取方法……获得攻击者为王国提供关键的证书,”说Picus安全联合创始人和Pucus Labs的副总裁Suleyman Ozarslan博士。
如何保护自己免受密码经理的违规
这里有一些课程。
首先,我们不能再假设仅仅因为您使用的是密码管理器,即您的登录凭据更安全。使用可能更方便,但仍可能发生漏洞。
研究密码管理人员的用户还应优先考虑加密。黑客能够在LastPass Hack中获取普通文本网站URL。尽管这似乎本身并不重要,但基本上为黑客提供了蓝图。它显示了您有哪些帐户的平台,对于希望制作网络钓鱼电子邮件的黑客来说,这可能是极其重要的工具。
本身获得登录凭据可能并不容易,但是他们确切知道要去哪里以及如何定位用户以获得未经授权的访问。 2024年5月,LastPass从错误中得知,该公司宣布正在推出URL加密。
但是,最重要的教训是重要性两因素身份验证。是的,您可以使用密码管理器来使登录过程尽可能容易,并且两因素身份验证将要求您输入凭据才能通过另一层安全性。但是,即使黑客要闯入您的密码管理器并窃取您的密码,除非他们可以访问您的物理移动设备,否则它们仍然无法访问您的帐户。
同样,如果您的密码管理器被违反,则需要更改密码。不,不仅是您的主密码。您应该使用保存在密码管理器中的登录凭据更改每个平台的密码。
有一个有关影响您的骗局或安全漏洞的故事吗?告诉我们。电子邮件[电子邮件保护]主题行“安全网”或使用。来自Mashable的人会取得联系。
