提供密码管理服务的 LastPass 披露了最新安全事故的调查结果——用户信息和密码库被盗，但短时间内黑客要破解用户的主密码是非常困难的。LastPass 称它最近在第三方云储存服务监测到异常活动，它立即启动了调查。调查发现，黑客利用了今年 8 月入侵开发环境中窃取到的情报，黑客在 8 月的入侵中窃取了部分源代码和私有技术信息，其中包括了 LastPass 在云储存服务中用于访问和解密部分存储卷的凭证和密钥。黑客随后拷贝了用户信息的备份和用户密码库的备份。用户信息包括了公司名称、终端用户名称、账单地址、电子邮件地址、电话号码以及客户访问 LastPass 服务的 IP 地址。用户密码库使用了 256 位 AES 密钥加密，只能通过源自用户主密码使用 Zero Knowledge 零知识架构的唯一加密密钥解密。LastPass 没有储存用户的主密码。黑客可能会通过暴力破解尝试猜出用户的主密码，LastPass 认为这非常困难，它对客户可能遭遇钓鱼攻击发出了警告。

https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/