密码管理器 LastPass 在 2022 年遭到黑客攻击而泄露大量用户的加密数据，尽管 LastPass 轻描淡写的表示这些数据采用用户主密码进行加密，但最终还是造成了严重的后果。

日前美国加利福利亚州北部的检察官扣押 2400 万美元的加密货币，这部分加密货币是在 2024 年 1 月 30 日发生 1.5 亿美元的网络盗窃案中追回的。

尽管美国检察官并未透露受害者的具体姓名，不过网络安全公司还是发现这 2400 万美元属于瑞波币 (XRP) 联合创始人克里斯拉森 (Chris Larsen) 的。

这件事为什么又和 LastPass 扯上关系呢？因为克里斯拉森就是 LastPass 用户，此前他将自己的加密货币钱包恢复密钥放在 LastPass 的安全备注里记录，用来在必要的时候通过密钥恢复钱包。

当 LastPass 出现数据泄露后，用户主动设置的主密码确实没有被泄露，但很多用户使用的是弱密码，攻击者有充足的时间对数据库进行暴力破解。

目前已知大约有 6 多名加密货币受害者都是因为 LastPass 数据泄露导致的，他们过分依赖于 LastPass 以及没有在数据泄露后第一时间将自己的加密货币转移到新钱包。

黑客通过暴力破解方式解密 LastPass 数据后，立即使用恢复密钥恢复了受害者的加密钱包，然后将所有资产转移到加密货币交易所进行套现，部分交易被检测到异常而被冻结。

对于以上消息 LastPass 进行否认，该公司称没有任何明确证据表明相关加密货币被盗事件与 LastPass 有直接关系，还表示 LastPass 已经大幅度加强安全措施。

但安全研究人员发现 LastPass 真的是非常业余，他们的安全措施里仍然存在漏洞：

在发生数据泄露事件后 LastPass 强制用户修改主密码并设定更加复杂的密码用来应对暴力破解，同时在 LastPass 层面加强密码迭代次数将暴力破解难度提升几个数量级。

关键问题是 LastPass 并未强迫使用旧版 LastPass 的用户设置更复杂的主密码以及进行密码迭代，也就是说假如再发生安全事件，这些旧版 LastPass 用户数据库仍然存在被暴力破解的风险。

只要攻击者采用更强大的硬件配置，就可以每秒发起百万次暴力破解，所以如果用户使用的是弱密码那被破解只是时间问题。

另外安全研究人员也指责 LastPass 从未告知老用户采用复杂密码和升级到新的密码保护措施，LastPass 事件导致全球发生数亿美元的盗窃后，LastPass 本可以鼓励用户更换密码和凭证，但 LastPass 却选择否认客户存在风险并责怪受害者。