LASTPASS疑似信息泄露？

遗尿

Dear valued customer, In keeping with our commitment to transparency, we wanted to inform you of a security incident that our team is currently investigating. We recently detected unusual activity within a third-party cloud storage service, which is currently shared by both LastPass and its affiliate, GoTo. We immediately launched an investigation, engaged Mandiant, a leading security firm, and alerted law enforcement. We have determined that an unauthorized party, using information obtained in the August 2022 incident, was able to gain access to certain elements of our customers’ information. Our customers’ passwords remain safely encrypted due to LastPass's Zero Knowledge architecture. We are working diligently to understand the scope of the incident and identify what specific information has been accessed. As part of our efforts, we continue to deploy enhanced security measures and monitoring capabilities across our infrastructure to help detect and prevent further threat actor activity. In the meantime, we can confirm that LastPass products and services remain fully functional. As always, we recommend that you follow our best practices around the setup and configuration of LastPass, which can be found here. As is our practice, we will continue to provide updates as we learn more. Please visit the LastPass blog for the latest information related to the incident: https://blog.lastpass.com/2022/11/notice-of-recent-security-incident/. We thank you for your patience while we work through our investigation. Sincerely, The Team at LastPass

尊敬的客户。 本着我们对透明度的承诺，我们想告知您一个安全事件，我们的团队目前正在调查。 我们最近在第三方云存储服务中发现了不寻常的活动，目前LastPass和它的附属公司GoTo都在使用这项服务。我们立即展开了调查，聘请了领先的安全公司Mandiant，并通知了执法部门。 我们已经确定，一个未经授权的一方，利用2022年8月事件中获得的信息，能够获得我们客户信息的某些内容。由于LastPass的零知识架构，我们客户的密码仍然被安全加密。 我们正在努力了解该事件的范围，并确定哪些具体信息被访问。作为我们努力的一部分，我们继续在我们的基础设施中部署增强的安全措施和监控能力，以帮助检测和防止威胁者的进一步活动。同时，我们可以确认，LastPass的产品和服务仍然完全正常。一如既往，我们建议你遵循我们关于LastPass的设置和配置的最佳实践，可以在这里找到。 按照我们的惯例，我们将继续提供更多的更新。请访问LastPass博客，了解与该事件有关的最新信息：https://blog.lastpass.com/2022/1 ... -security-incident/。 我们感谢您在我们的调查过程中保持耐心。 真诚的。 LastPass的团队

内森德雷克

希望我一直用的safeincloud别出事，市面上买断制的密码管理软件好像仅此一家了

5long

英语加粗的部分说了, 密码没事. 细节等后续.

M1NG

借楼问下，密码管理软件哪个看起来比较正规，各平台都适配很好的？chrome天天骂我密码泄露，有点受不了了

chachi

自己建keepass+onedrive+浏览器插件

john

M1NG 发表于 2022-12-2 23:39
借楼问下，密码管理软件哪个看起来比较正规，各平台都适配很好的？chrome天天骂我密码泄露，有点受不了了 ...

在乎钱吗？
在乎的话，最正规的就是诺顿了，杀毒软件那个。然后Bitwarden，小公司但是开源、能用
不在乎的话，大把界面和多平台支持都很好的软件可以挑，比如卡巴斯基，杀毒软件那个

lzrtwilight

lastpass不止一次了吧，上次泄露我就换了bitwarden了

eilot

一早换了bitwarden，而且没打算在街外用

日日夜夜

lastpass第几次出事了

新庄運切

lastpass关闭中文支持就换bitwarden，反正也就是电脑用用

Bean

bitwarden感觉良好

chaos7

自建bitwarden,不放外网,回家才同步密码。

九八式衍射弹

https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/

九八式衍射弹

5long 发表于 2022-12-2 23:29
英语加粗的部分说了, 密码没事. 细节等后续.

已经确认密码有事了，就得看黑客能不能把拖的库解密了

布拉德莱恩

lastpass上次出事就换成bitwarden了

john

dffgf 发表于 2023-1-2 10:52
密码管理上云，这个逻辑太可怕了

密码管理不上云，你自己浏览器保存一个随机密码就收工了，要啥密码管理器

Realplayer

密码管理请记载纸上，我想没人会记明文的128位加密码导致觉得麻烦吧

舌怪

这个平台日常泄露

Flyfish233

Realplayer 发表于 2023-1-2 13:25
密码管理请记载纸上，我想没人会记明文的128位加密码导致觉得麻烦吧

用算法生成助记词

caibing

chaos7 发表于 2022-12-3 04:11
自建bitwarden,不放外网,回家才同步密码。

是自签名的证书还是有域名用Lets Encrypt搞的证书？
我没有域名，卡在安卓系统的证书认证那关了。

Re.Troy

发现iCloud keychain也有win版和edge插件了，该换了

lhw369

caibing 发表于 2023-1-2 22:26
是自签名的证书还是有域名用Lets Encrypt搞的证书？
我没有域名，卡在安卓系统的证书认证那关了。 ...

docker的话，bitwarden配合Nginx proxy manager就能自动搞定证书。前提是有自己的域名。

—— 来自 HONOR HPB-AN00, Android 12上的 S1Next-鹅版 v2.5.4

lhw369

caibing 发表于 2023-1-2 22:26
是自签名的证书还是有域名用Lets Encrypt搞的证书？
我没有域名，卡在安卓系统的证书认证那关了。 ...

docker的话，bitwarden配合Nginx proxy manager就能自动搞定证书。前提是有自己的域名。

—— 来自 HONOR HPB-AN00, Android 12上的 S1Next-鹅版 v2.5.4