LastPass 回应异常登录：暂无证据表明数据泄露

前几天，许多 LastPass用户报告说他们的主密码已被泄露。对此，LastPass 周二发表声明称，在用户报告他们收到未经授权的登录尝试通知后，并没有数据泄露的证据。

LastPass 否认用户密码泄露

据 Hacker News 一位用户报告说：“LastPass 阻止了来自巴西的登录尝试（不是我）。根据我从 LastPass 收到的一封电子邮件，这次登录使用的是 LastPass 帐户的主密码。该电子邮件看起来不像是一次网络钓鱼尝试。”

这导致大量用户猜测 LastPass 可能以某种方式泄露了主密码，因为这些电子邮件只有在未经授权的人使用正确密码登录时才能发送。不过，LastPass 已经明确表示它不会在服务器上存储密码，一切都是在本地完成，按照这个说辞，主密码泄露是不太可能的。

针对用户的质疑与猜测，LastPass 发表了声明。声明如下：

如前所述，LastPass 知道并一直在调查最近关于用户收到电子邮件提醒他们登录尝试被阻止的报告。

我们迅速着手调查此活动，目前我们没有迹象表明任何 LastPass 帐户因这种凭证填充而被未经授权的第三方入侵，也没有发现任何迹象表明用户的 LastPass 凭证被恶意软件收集，流氓浏览器扩展程序或网络钓鱼活动。

但是，出于谨慎考虑，我们继续进行调查，以确定是什么原因导致我们的系统触发自动安全警报电子邮件。

我们的调查后来发现，其中一些发送给 LastPass 用户的有限子集的安全警报可能是错误触发的。因此，我们调整了我们的安全警报系统，此问题已得到解决。

这些警报是由于 LastPass 不断努力保护其客户免受不良行为者和凭证填充尝试的影响而触发的。同样重要的是重申 LastPass 的零知识安全模型意味着 LastPass 不会存储、知道或访问用户的主密码。

我们将继续定期监控异常或恶意活动，并在必要时继续采取旨在确保 LastPass、其用户及其数据受到保护和安全的措施。

不过，就用户来说，他们目前并没有因为这份声明而得到缓和。对此，Perimeter 81 首席执行官 Amit Bareket 建议为了安全起见，设置身份验证等多因素认证可能会更保险一些。

LastPass 刚刚独立

经历风波的 LastPass 本月刚刚从母公司独立出来。就在本月 14 日，LastPass 的母公司 LogMeIn 宣布，有鉴于全球市场越来越重视密码的安全性，准备让旗下的密码管理服务 LastPass 成为一家独立公司，以迎接未来的商机。

LogMeIn 为一软件即服务（SaaS）供应商，它在 2015 年以 1.1 亿美元买下了 LastPass，除了 LastPass 之外，LogMeIn 还有专门提供线上会议与桌面分享的 GoToMeeting 服务，云计算电话系统与虚拟会议平台 GoToConnect 以及远程支持服务 Rescue。

LastPass 创立于 2008 年，是是一个受欢迎的密码管理工具，目前其全球用户数超过 3,000 万名，以及 8.5 万家企业客户。

LogMeIn 表示，在成为一家独立的公司之后，LastPass 将会增加对客户经验、市场功能与工程的投资，以加速其密码管理、单一签入与多功能认证的进步，同时 LastPass 也表示，就算转为独立公司，客户的账号或服务不会有所变更，但会看见加速发布新功能。

参考链接：

https://www.zdnet.com/article/lastpass-vp-says-no-indication-that-accounts-compromised-or-credentials-harvested-after-reports/

https://www.ruancan.com/news/the-password-manager-lastpass-will-be-split-from-the-parent.html