LastPass 已被黑客入侵。
再次。
仍然。
这次(第二次)攻击者再次入侵了 LastPass 的开发环境。这与三个月前遇到的问题如出一辙。此外,LastPass 还曾在 2011 年、2015 年、2016 年、2017 年(两次)、2019 年、2021 年以及现在的 2022 年发生过两次安全事件。
现在,根据 LastPass 的说法,你完全不必担心,因为他们的博客文章称“由于 LastPass 的零知识架构,我们客户的密码始终安全加密”。不过,我不得不说,从一家主打安全的公司购买服务,而该公司却不断重复“我们被黑客攻击了,但别担心”,这种说法听久了难免会让人觉得虚伪。
十多年前我第一次听说 LastPass 时,觉得这个概念很有意思。他们说(毕竟它不是开源软件,所以你必须信任他们),你所有的数据都是一个加密的数据块,从服务器传输到浏览器。他们的服务器代码不会直接接触这些数据,所以理论上来说,数据在他们的服务器上不会被黑客攻击。
然而,任何安全专家都会告诉你,任何加密系统的弱点都不在于256位RSA加密算法本身,而在于实现细节。LastPass屡屡在这方面出现问题,再加上其糟糕的企业安全实践,更是雪上加霜。
我并非一定要推荐这款产品,但有趣的是,1Password(其主要竞争对手)的维基百科页面上列出的安全事件为零。零。而LastPass自2011年以来已经发生了九起安全事件。
骗我一次,是你的耻辱;骗我九次……
