您的位置首页>IT>

密码状态违规将恶意更新推送到密码管理器

导读鉴于密码有多弱,许多安全专家建议使用密码管理器来生成强密码并为您存储无法破译的序列。然而,问题是当这些密码管理器本身发生不好的事情

鉴于密码有多弱,许多安全专家建议使用密码管理器来生成强密码并为您存储无法破译的序列。然而,问题是当这些密码管理器本身发生不好的事情时,会让他们的用户头疼或害怕。去年 2 月,流行的 LastPass 突然限制了其免费套餐,这让许多用户非常懊恼。现在,企业密码管理器 Passwordstate 报告了一个安全,该可能已通过窃取数据的恶意更新感染了客户。

开发人员 Click Studios 没有提供有关安全的任何详细信息,仅提供对其客户的影响。黑客能够闯入该公司的软件更新系统,并能够注入带有恶意软件的更新。然后将此更新推送给用户,并且在 UTC 时间 4 月 20 日晚上 8 点 33 分到 UTC 时间 4 月 22 日上午 0 点 30 分之间完成的任何就地更新都会提供此恶意更新。手动更新被认为是安全的。

在这 28 小时的窗口中,密码管理器的数据可能已被盗。恶意更新会联系攻击者的服务器以发回包括客户用户名和加密密码在内的信息。据报道,远程服务器已离线,但如果远程 C&C 再次恢复,用户仍然面临风险。

当然,开发人员正在敦促 Passwordstate 客户跨组织重置密码。不幸的是,这说起来容易做起来难,因为这些客户是甚至在软件中存储防火墙和 VPN 密码的企业和组织。

Click Studios 没有详细说明他们的安全如何受到损害,但他们的调查排除了保护自己服务器的密码被盗或弱密码的可能性。它还表示,受影响的客户数量似乎很少,但这只是在第一波客户报告之后。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。