密码管理平台LastPass披露一起安全事件，建议主密码未遵循默认值的用户更改密码

金融报道，在线密码管理平台 LastPass 披露称，未经授权的一方有权访问第三方云存储服务，LastPass 使用该服务存储其生产数据的存档备份。根据 LastPass 调查显示，一个未知的攻击者使用它 LastPas 之前在 2022 年 8 月度披露事件中获得的信息访问了一个基于云的存储环境，一些信息源代码和技术信息从开发环境中被盗，并被用来攻击另一名员工，获得一些基于云的存储凭证和密钥进行访问和解密。 LastPass 确定一旦获得云存储访问密钥和双存储容器解密钥，攻击者将从备份中复制信息，包括公司名称、最终用户名称、账单地址、客户访问等基本客户账户信息和相关元数据 LastPass 电子邮件地址、电话号码和服务中使用的电子邮件 IP 地址。 LastPass 称自 2018 自年以来，它至少要求主密码 12 一个字符可以大大降低暴力猜测密码的能力。若用户的主密码不遵循上述默认值，LastPass 建议用户考虑通过更改存储的网站密码来降低风险。