LastPass cảnh báo người dùng về nguy cơ vụ tấn công đánh cắp dữ liệu

AD| 24/12/2022 16:30
Theo dõi ICTVietnam trên

Mới đây, LastPass - một trong những ứng dụng quản lý mật khẩu phổ biến đã thông báo rằng tin tặc đã đánh cắp được kho thông tin cá nhân thuộc về khách hàng của họ, bao gồm cả kho mật khẩu được mã hóa bằng cách sử dụng dữ liệu đánh cắp từ lần tấn công trước đây.

Tháng 8/2022, những kẻ tấn công mạng đã truy cập thành công vào mã nguồn và thông tin kỹ thuật độc quyền từ môi trường phát triển của LastPass thông qua một tài khoản nhân viên bị xâm phạm. Từ đó, kẻ tấn công đã có được thông tin đăng nhập và khóa để trích xuất thông tin từ bản sao lưu được lưu trữ trong dịch vụ lưu trữ đám mây.

Theo LastPass, trong số các dữ liệu bị đánh cắp có "thông tin tài khoản khách hàng cơ bản và siêu dữ liệu liên quan như tên công ty, tên người dùng cuối, địa chỉ thanh toán, địa chỉ email, số điện thoại và địa chỉ IP mà khách hàng đã truy cập dịch vụ LastPass".

Ngoài ra, tin tặc cũng được cho là đã sao chép kho dữ liệu của khách hàng từ dịch vụ lưu trữ được mã hóa. Nó được lưu trữ ở "định dạng tệp độc quyền" chứa cả những dữ liệu không được mã hóa, chẳng hạn như URL trang web và các trường được mã hóa đầy đủ như tên người dùng và mật khẩu trang web, ghi chú an toàn và dữ liệu điền vào biểu mẫu.

Công ty cho biết các trường này đều được bảo vệ bằng mã hóa AES 256-bit và chỉ có thể được giải mã bằng khóa lấy từ mật khẩu chính của người dùng.

mk.jpg

Do đó, LastPass cũng đang kêu gọi người dùng thay đổi mật khẩu chính để tăng cường bảo mật, đồng thời cũng khuyến nghị người dùng không sử dụng mật khẩu chính dùng cho LastPass trên các dịch vụ và trang web khác.

Vì nếu người dùng sử dụng lại mật khẩu chính của mình đã từng bị xâm nhập, kẻ tấn công có thể sử dụng các thông tin xác thực bị đánh cắp đã có sẵn trên Internet để cố gắng truy cập vào tài khoản đó.

Công ty không tiết lộ chính xác thời gian sao lưu gần đây, nhưng đưa ra cảnh báo rằng tin tặc "có thể cố gắng sử dụng “brute force” (kiểu tấn công được dùng cho tất cả các loại mã hóa, hoạt động bằng cách thử tất cả các chuỗi mật khẩu có thể để tìm ra mật khẩu) để đoán mật khẩu chính của nạn nhân và giải mã các bản sao dữ liệu mà chúng đã đánh cắp được",

Đồng thời, tin tặc cũng có thể nhắm mục tiêu khách hàng bằng kỹ thuật xã hội và các cuộc tấn công nhồi nhét thông tin xác thực (credential stuffing - hình thức tấn công mạng mà trong đó tin tặc sử dụng các tài khoản và mật khẩu bị lộ lọt ra bên ngoài để có được truy cập trái phép vào các tài khoản người dùng thông qua các yêu cầu đăng nhập được tự động hóa và thực hiện trên diện rộng).

Việc giải mã thành công mật khẩu chính có thể giúp những kẻ tấn công biết được trang web mà một người dùng cụ thể nắm giữ tài khoản, cho phép chúng thực hiện các cuộc tấn công đánh cắp thông tin xác thực hoặc các cuộc tấn công lừa đảo khác./.

Bài liên quan
Nổi bật Tạp chí Thông tin & Truyền thông
  • Bưu điện Việt Nam đảm bảo không gián đoạn dịch vụ khi thay đổi địa giới hành chính
    Bưu điện Việt Nam đã chủ động triển khai hàng loạt giải pháp đồng bộ để đảm bảo dịch vụ không gián đoạn, người dân không bị ảnh hưởng và không phát sinh thêm chi phí trong bối cảnh thay đổi địa giới hành chính từ ngày 1/7/2025.
  • AI có thể giúp giảm thiểu khoảng 70 tỷ USD chi phí tổn thất thiên tai trực tiếp
    Trí tuệ nhân tạo (AI) có thể giúp giảm thiểu khoảng 70 tỷ USD chi phí tổn thất thiên tai trực tiếp hàng năm đến năm 2050. Điều này đã được Deloitte Toàn cầu đưa ra trong báo cáo mới đây.
  • AI lõi "Make in Viet Nam" được xếp hạng Top 12 thế giới
    Trong bối cảnh chuyển đổi số, chuyển đổi AI tại Việt Nam đang diễn ra, công nghệ OCR (Nhận dạng ký tự quang học) ngày càng giữ vai trò quan trọng trong việc số hóa tài liệu, tự động hóa quy trình nghiệp vụ, tiết kiệm chi phí và nâng cao hiệu quả quản trị.
  • Làm sao để tăng hiệu quả bảo mật môi trường đa đám mây?
    Khi cuộc tranh luận về việc nên triển khai hệ thống máy chủ tại chỗ hay trên đám mây đã dần lắng xuống, doanh nghiệp (DN) giờ đây lại phải đối mặt với một bài toán khác khó khăn hơn: làm thế nào để bảo mật hiệu quả môi trường đa đám mây (multicloud)?
  • Cỗ máy gia tốc từ Nghị quyết 57: Một bài học sống động
    Sau nửa năm triển khai Nghị quyết 57-NQ/TW của Bộ Chính trị (2/1/2025 – 29/6/2025), CT Group đã tổ chức Lễ Sơ kết 6 tháng triển khai Nghị quyết 57-NQ/TW với hàng loạt sản phẩm hoàn thiện rất phong phú từ Khoa học, Công nghệ, Chuyển đổi số đến Đổi mới sáng tạo. Thành tựu đạt được chính là minh chứng sống động cho khát vọng làm chủ công nghệ lõi, tạo lực đẩy đột phá và nâng cao năng lực cạnh tranh, cùng vị thế quốc gia trên tiến trình hội nhập, vì một Việt Nam hùng cường.
Đừng bỏ lỡ
LastPass cảnh báo người dùng về nguy cơ vụ tấn công đánh cắp dữ liệu
POWERED BY ONECMS - A PRODUCT OF NEKO