三千多万用户数据泄露,这次我们的推荐翻车了。。。

不知道各位差友还有没有印象 。
我们不久之前提到过 , Chromium系浏览器用了一种“把钥匙插在保险箱”上的办法来“加密”你保存的密码 。
三千多万用户数据泄露,这次我们的推荐翻车了。。。
文章图片
这就导致假如你电脑里没有火绒一类的规则安全软件的话 。。。 中了毒之后一秒就能被黑客盗走你的各种账号密码 。
当时我们给大家的建议之一就是把密码导出到第三方密码本软件 , 他们更专业 , 并且普遍实行严格的加密政策 。
三千多万用户数据泄露,这次我们的推荐翻车了。。。
文章图片
想从他们那拿到储存的账号和密码 , 会更加困难 。
但是 。。。 我们这脸被打的 , 好像有点儿快?
上周 , 有三千多万用户的世界知名密码管理工具LastPass直接整了个大活:
他们发现 , 大量数据库备份 , 其中包括用户数据以及储存的用户账号密码 , 被人给摸走了!
三千多万用户数据泄露,这次我们的推荐翻车了。。。
文章图片
由于托尼在几年前也使用过LastPass , 所以第一时间去官网看了一下什么情况 。
一上来的消息就非常不妙:这次有很多明文的数据泄露出去了 。
啥意思呢?
好消息:你的密码是加密存储的 , 问题不大 。
坏消息:除了密码没问题 , 其它的都有问题 , 并且问题很大!
因为LastPass并没有给用户的注册邮箱和手机号 , 账单地址 , IP地址等大量关键隐私数据加密 。
甚至连用户保存账号密码的网址 , 他们也没有加密 。
三千多万用户数据泄露,这次我们的推荐翻车了。。。
文章图片
我们来举个例子 , 假设我们的小黑胖是个LastPass的重度用户 。
黑客拿到这次泄露的数据之后 , 首先可以知道小黑胖的邮箱地址和手机号——不过这些信息其它平台也泄露个七七八八了 。
但和以往不同的是 , 这次黑客还能知道小黑胖在哪些平台注册过账号!!!
这些信息乐观估计 , 可以用来发广告——什么人在什么网站上有账号 , 这可是“用户画像”数据啊!
三千多万用户数据泄露,这次我们的推荐翻车了。。。
文章图片
而更阴暗一点 , 则可以帮助诈骗或黑客集团“精耕细作” , 挑选受害者 。
比如这样 。
三千多万用户数据泄露,这次我们的推荐翻车了。。。
文章图片
话说到这里 , 肯定也会有小伙伴儿说了:
“我有足够的防骗意识 , 而且我也没在不干净的网站上注册过账号 , 你说的这些情况我都不担心 。 ”
嗯 。。。 那接下来这点 , 你可能该坐不住了 。。。
三千多万用户数据泄露,这次我们的推荐翻车了。。。】因为LastPass的加密根本没有他们说的那么无懈可击 。
LastPass要求用户设置一个主密码 , 用户每次想用自己存的密码 , 都得把它输一遍 。 因此这个密码必须非常难破解才够安全 。
但他们曾在2018年被怀疑安全措施远远落后于时代 , 在那之后 , LastPass改进了加密方式 , 密钥迭代增加到了10万次 , 并且要求用户至少采用12位的密码 。
然而令人吐血的是 , 这次升级实际上并不是自动进行的 , LastPass也没有强制要求那些采用不安全密码的用户更换新的密码 。
结果就是很多老用户的账户既没有被升级到新的加密方法 , 也仍然在使用位数不够或已经泄露的旧密码 。
托尼的旧账户就是其中之一 , 这个2014或2015年(记不太清)创建的账户并没有自动升级到新的加密方法 , 仍然在使用旧的5000次迭代加密 。