LastPass用戶主金鑰被用作帳密填充攻擊

近日密碼管理工具LastPass部分用戶密碼保存庫的主密碼（master password），疑似遭不明人士用來發動帳密填充（credential stuffing）攻擊。

上周部分LastPass用戶在Reddit及HackNews討論區反映接到來自LastPass的警告信，指有人試圖從他們不認識的裝置或地點，以其主密碼（master password）登入LastPass帳號。信中並列出試圖存取帳號的陌生IP位址，數名用戶帳號被存取的IP都是位於巴西。LassPass的警告信表示，登入意圖已遭到封鎖，但提醒用戶確認帳號的安全性。

LassPass對Bleeping Computer及The Record證實有幾十名用戶遭到帳密填充攻擊。該公司指出，經過調查發現這是以常見的機器人程式，利用其他事件外流的郵件信箱及密碼試圖存取用戶帳號。

所謂帳密填充（credential stuffing）攻擊，是指攻擊者從地下網站或其他地方取得大量用戶的帳密組合來測試特定是否能成功存取網站。只要有使用者在不同網站使用同一組帳密，就可能因此被駭。

這次被攻擊的是LastPass帳號，一旦攻擊者成功登入，即能取得LastPass用戶儲存的其他網站或應用的密碼或憑證。

雖然LastPass已經封鎖了存取，但這也表示用戶主密碼外流。Bleeping Computer報導，用戶表示這主密碼只用於LastPass，並未用於其他網站。至於怎麼流出則不得而知，例如駭客可能取得包含用戶主密碼的資料庫。安全專家Bob Diachenko指出近日Redline Stealer竊密程式公布的資料中，也包含數千筆LassPass登入帳密。

LastPass則強調沒有跡象顯示用戶帳號被成功存取，同時LastPass服務也未遭非授權人士入侵。LastPass表示會持續監控，以確保公司及用戶、用戶資料的完整性。

安全廠商建議，LastPass用戶應變更主密碼，並利用LastPass Authenticator、Google Authenticator、Microsoft Authenticator或 Authy、Duo等應用程式啟用雙因素驗證。