近日密码管理工具LastPass部分用户密码保存库的主密码(master password),疑似遭不明人士用来发动帐密填充(credential stuffing)攻击。
上周部分LastPass用户在Reddit及HackNews讨论区反映接到来自LastPass的警告信,指有人试图从他们不认识的设备或地点,以其主密码(master password)登录LastPass账号。信中并列出试图访问账号的陌生IP地址,数名用户账号被访问的IP都是位于巴西。LassPass的警告信表示,登录意图已遭到封锁,但提醒用户确认账号的安全性。
LassPass对Bleeping Computer及The Record证实有几十名用户遭到帐密填充攻击。该公司指出,经过调查发现这是以常见的机器人程序,利用其他事件外流的邮件信箱及密码试图访问用户账号。
所谓帐密填充(credential stuffing)攻击,是指攻击者从地下网站或其他地方取得大量用户的帐密组合来测试特定是否能成功访问网站。只要有用户在不同网站使用同一组帐密,就可能因此被黑。
这次被攻击的是LastPass账号,一旦攻击者成功登录,即能取得LastPass用户存储的其他网站或应用的密码或凭证。
虽然LastPass已经封锁了访问,但这也表示用户主密码外流。Bleeping Computer报道,用户表示这主密码只用于LastPass,并未用于其他网站。至于怎么流出则不得而知,例如黑客可能取得包含用户主密码的数据库。安全专家Bob Diachenko指出近日Redline Stealer窃密程序公布的资料中,也包含数千笔LassPass登录帐密。
LastPass则强调没有迹象显示用户账号被成功访问,同时LastPass服务也未遭非授权人士入侵。LastPass表示会持续监控,以确保公司及用户、用户资料的完整性。
安全厂商建议,LastPass用户应变更主密码,并利用LastPass Authenticator、Google Authenticator、Microsoft Authenticator或Authy、Duo等应用程序激活双重验证。