密碼管理器LastPass主密碼泄露

近日，知名密碼管理器LastPass的大量用戶報告賬戶主密碼發生泄露，LastPass用戶收到有人試圖使用主密碼從未知位置登錄其帳戶的電子郵件警告。

LastPass的電子郵件安全通知還提到登錄嘗試已被阻止，因為它們是從全球陌生的地方進行的。

“有人剛剛使用您的主密碼嘗試從我們無法識別的設備或位置登錄您的帳戶，請確認是否您本人”登錄警報警告說（下圖）。

憑證填充攻擊？

LogMeIn全球公關/AR高級總監Nikolett Bacso-Albaum表示：“LastPass調查了最近有關異常登錄嘗試被阻止的報告，并確定該活動與常見的bot活動有關，其中惡意或不良行為者試圖訪問用戶帳戶，使用從第三方數據泄露中獲得的電子郵件地址和密碼。”

“重要的是，沒有任何跡象表明帳戶已成功訪問或LastPass服務被未經授權的一方以其他方式入侵。我們定期監控此類活動，并將繼續采取旨在確保LastPass的措施，LastPass的用戶，他們的數據仍然受到保護，”Bacso-Albaum補充道。

但是，收到安全警告的用戶表示，他們的密碼是LastPass獨有的，并未在其他地方使用。

雖然LastPass沒有分享有關這些憑據填充嘗試背后的威脅行為者如何進行的任何詳細信息，但安全研究人員Bob Diachenko表示，他最近在查看Redline Stealer惡意軟件日志時發現了數千個LastPass賬號。

安全專家建議LastPass用戶啟用多重身份驗證以保護他們的帳戶，即使他們的主密碼已被泄露也不至于造成重大損失。

兩年前，也就是2019年9月，LastPass曾修復了密碼管理器Chrome擴展程序中的一個安全漏洞，該漏洞允許攻擊者竊取上次用戶登錄網站的賬戶憑據。

（來源：@GoUpSec）