全球最知名的密碼管理器，又雙叒叕泄露數據了

今年8月，知名在線密碼管理器LastPass法律與公告，表示有黑客在侵入系統后竊取了部分源代碼，并在大約四天的時間內獲得了一些敏感信息。

為此，LastPass還聘請了一家領先的網絡安全和取證公司確保數據安全。

最終該公司與來Mandian的安全專家密切合作調查結果顯示，沒有任何用戶數據被泄露。

首席執行官擔保，雖然LastPass被黑，但沒有任何用戶數據泄露。

11月30日，當大部分用戶已經忘掉這件事后，LastPass卻再次爆出數據泄露事件。

LastPass首席執行官KarimToubba在博文中表示，有黑客訪問了LastPass的第三方云存儲服務器，并借此獲得了部分用戶的信息。

博文中并未明確黑客具體竊取了哪些信息、也沒有明確有多少用戶受到影響。

同時Toubba還稱，由于LastPass采用了零知情（ZeroKnowledge）架構，因此雖然出現了數據泄露，但用戶的密碼仍然是安全加密的。

據悉，所謂的零知情架構就是只有用戶知道主密碼，加密只發生在設備層面而不是服務器端，LassPass也不會知道，這使得單純的侵入服務器并不會導致主密碼泄露。

目前， LastPass已經確認，此次黑客能夠順利侵入服務器，是因為TA利用了在今年8月被竊取的源代碼和專有信息，并借此獲得了對數據的訪問權限。

值得一提的是，這并非LastPas首次發生數據泄露的問題了。

去年12月，數百名用戶在Twitter、reddit等社交平臺上發布消息稱，自己的LastPass賬戶主密碼被泄露。

他們得到了系統通知稱，有不同IP嘗試通過他們的主密碼登錄賬號（當用戶在不常用地區登錄賬戶時，LastPass會發布郵件通知）。

即使在修改密碼后，他們還是會看到來自不同地點的新的登錄嘗試。

隨后LastPass發布了一份聲明，指出其安全團隊觀察到并收到了潛在的未知攻擊者撞庫嘗試的報告。

然而，在LastPass發布聲明后，依然有用戶反駁稱，自己為LastPass設置的主密碼是獨立的，從未在其他地方使用過，因此不可能是撞庫泄露。

再加上不止一名用戶在修改主密碼后又收到同樣的異常警告，如果是撞庫，新密碼不會這么快也立即泄露。

此外，去年3月，有兩個安全研究團隊分析發現，LastPass中內置了7種不同的追蹤器，可能是用來收集并發送用戶個人數據的。

研究人員稱，即使LastPass允許用戶選擇自行關閉這些追蹤器，但其依然可能會給用戶帶來安全風險。

比如，其中一個追蹤器就指向了某數據分析平臺，其涵蓋的業務包括廣告合作伙伴對接、廣告優化等。

報告還揭示了LastPass在手機客戶端需要用戶開啟的權限。

包括但不限于手機設備品牌型號、生物識別開關狀態、精確地理位置、讀取SD卡中的內容、錄制音頻等等。

安全專家稱，對于處理極其敏感的數據（密碼）的軟件來說，LastPass本身并沒有廣告模塊，所以內置這些追蹤器完全是沒有道理的。

資料顯示，LastPass是世界上最大的密碼管理公司之一，目前有超過3300萬人和10萬家企業在使用它。

隨著消費者和企業使用該公司的軟件安全地存儲密碼，人們難免擔心，如果該公司被黑客攻擊，可能會讓不法分子訪問其存儲的密碼。

悲觀的是，除了LastPass外，Bitwarden、RoboForm和Dashlane等密碼管理器此前也被曝光過含有多款追蹤器。

說到底，密碼這種東西，最終還是保留在自己手里才放心。