學分:Ian Moore / Mashable Composite; Miragec / Moment / OliverWolfson / Istock / Getty
早在2022年8月,密碼經理LastPass遭受了。
仍然不知所措的網絡罪犯成功地目標LastPass的“四個DevOps工程師”之一,他們可以訪問云存儲服務的解密密鑰。使用工程師的被盜憑據,黑客能夠滲入未被發現的LastPass系統。這種漏洞持續了幾個月,即使在上一次賽事認為威脅已包含的情況下,也持續了幾個月。
LastPass漏洞使威脅參與者能夠訪問“備份客戶金庫數據”。根據公司的說法,加密數據(例如用戶名和密碼以及網站URL等未加密數據)受到影響。
大公司和在線平台的違規並不是什麼新鮮事。對於LastPass違規,黑客也不需要找到一些技術缺陷來利用。
通過針對在這些公司工作的人類,使用社會工程等策略,每個組織在技術上都有可以利用的弱點。
但是,LastPass的漏洞是不同的。
黑客違反了一個密碼管理器,該平台旨在保護您的密碼,並可以為您的每個登錄使用高度安全的憑據。事實證明,對於黑客來說,它非常成功。
違反密碼經理對黑客有利可圖
在過去的幾個月中,有一個數字的報告詳細說明上次通道漏洞似乎是如何鏈接與加密貨幣有關的搶劫。據稱,由於最後的通行證違反了據稱,數億美元被盜。
在此類事件中,美國聯邦調查員宣稱最後的通道違規似乎是加密貨幣搶劫的根源,該搶劫案導致去年的加密錢包被偷走了1.5億美元。當局發現登錄憑證存儲在受害者的密碼經理中後得出了這一結論。此外,調查人員沒有發現任何證據表明受害者的設備被黑客入侵。
可混合的輕速速度
看來最糟糕的情況還沒有到來。
得益於黑客在LastPass入侵中的成功,密碼管理器現在受到攻擊。黑客意識到,當目標用戶定位時,他們可以訪問所有登錄憑據,如果他們可以闖入目標的密碼管理器時,他們可以訪問所有登錄憑據。
這是黑客如何磨練密碼管理器的一個很好的例子,甚至是為了瞄準它們的創意。
在上次通道違規後僅一年半,威脅演員以某種方式超越了蘋果通常的嚴格審核過程,以說服該公司批准在App Store中。 LastPass冒名頂替者基本上是一個網絡釣魚應用程序,試圖欺騙LastPass用戶認為它是官方應用程序,因此他們將輸入其登錄憑據,然後將其歸於創建它的壞演員。目前尚不清楚該特定事件影響了多少個(如果有的話),但它顯示了網絡罪犯在針對密碼管理人員方面的長度。
但是,不要愚弄這只是最後一個通道。黑客通常針對密碼管理人員。一個上個月從網絡安全公司Picus Security發布的發現,所有惡意軟件中有25%現在針對密碼管理器或其他憑證存儲服務。
“威脅參與者正在利用複雜的提取方法……獲得攻擊者為王國提供關鍵的證書,”說Picus安全聯合創始人和Pucus Labs的副總裁Suleyman Ozarslan博士。
如何保護自己免受密碼經理的違規
這裡有一些課程。
首先,我們不能再假設僅僅因為您使用的是密碼管理器,即您的登錄憑據更安全。使用可能更方便,但仍可能發生漏洞。
研究密碼管理人員的用戶還應優先考慮加密。黑客能夠在LastPass Hack中獲取普通文本網站URL。儘管這似乎本身並不重要,但基本上為黑客提供了藍圖。它顯示了您有哪些帳戶的平台,對於希望製作網絡釣魚電子郵件的黑客來說,這可能是極其重要的工具。
本身獲得登錄憑據可能並不容易,但是他們確切知道要去哪里以及如何定位用戶以獲得未經授權的訪問。 2024年5月,LastPass從錯誤中得知,該公司宣布正在推出URL加密。
但是,最重要的教訓是重要性兩因素身份驗證。是的,您可以使用密碼管理器來使登錄過程盡可能容易,並且兩因素身份驗證將要求您輸入憑據才能通過另一層安全性。但是,即使黑客要闖入您的密碼管理器並竊取您的密碼,除非他們可以訪問您的物理移動設備,否則它們仍然無法訪問您的帳戶。
同樣,如果您的密碼管理器被違反,則需要更改密碼。不,不僅是您的主密碼。您應該使用保存在密碼管理器中的登錄憑據更改每個平台的密碼。
有一個有關影響您的騙局或安全漏洞的故事嗎?告訴我們。電子郵件[電子郵件保護]主題行“安全網”或使用。來自Mashable的人會取得聯繫。
