密码管理器KeePass最近修复了一个允许检索主密码的漏洞

5月22日消息，慢雾首席信息安全官23pds发推提醒称，开源密码管理器KeePass最近修复一个允许检索主密码的漏洞，该漏洞可被利用来从软件内存中检索出明文主密码，PoC已公开，目前暂无补丁。加密货币圈有不少用户使用此软件，注意资金风险。

金色财经报道，据23pds在社交媒体上发文表示，知名开源密码管理器 KeePass 在Google搜索出现广告钓鱼官网，用户一旦进入'虚假官网'后，下载到的将是木马软件。 请加密货币用户随时注意安全风险，目前Google收到投诉后开始处理此问题。

金色财经报道，在线密码管理平台 LastPass 披露称，未经授权的一方获得了对第三方云存储服务的访问权限，LastPass 使用该服务存储其生产数据的存档备份。根据 LastPass 调查，一个未知的攻击者利用 LastPas 之前在 2022 年 8 月披露的事件中获得的信息访问了一个基于云的存储环境，一些消息来源代码和技术信息从开发环境中被盗，并被用于攻击另一名员工，获取用于访问和解密基于云的存储服务中的某些存储凭证和密钥。 LastPass 确定，一旦获得云存储访问密钥和双存储容器解密密钥，攻击者就会从备份中复制信息，其中包含基本客户账户信息和相关元数据，包括公司名称、最终用户名称、账单地址、客户访问 LastPass 服务时使用的电子邮件地址、电话号码和 IP 地址。 LastPass 称自 2018 年以来，其要求主密码至少 12 个字符，可极大地降低暴力猜测密码的能力。如果用户的主密码不遵循上述默认值，LastPass 建议用户考虑通过更改存储的网站密码来最大限度地降低风险。

9月6日消息，面向企业和消费者的开源密码管理器 Bitwarden 宣布完成 1 亿美元融资，PSG 领投、Battery Ventures 参投。Bitwarden 旨在使人们更容易自动生成安全密码，并将他们所有的唯一密码和敏感信息存储在安全的数字保险库中，从而避免重复使用相同的不安全密码。Bitwarden 的最大区别在于它建立在开源代码库之上，具有高安全意识的个人和企业可以全面检查平台的内部运作。（techcrunch）

金色财经报道，据币安首席执行官CZ在社交媒体透露密码管理器LastPass遭遇泄露问题，CZ称自己曾在博客文章中推荐过这个密码管理器。据LastPass称本次问题对客户密码没有影响，因为客户需要自己在客户端加密，但黑客目前已经拥有了用户信息，包括未加密的电子邮件地址和网站URL。尽管LastPass随后提供了更新，但CZ仍提示如果重复使用主密码的密码或主密码较弱，则黑客有可能获得所有凭据，另外用户需要确保已启用2FA双因子验证。据此前报道，LastPass于今年八月部分源码泄露。

12月25日消息，LastPass表示，一个未知的黑客利用之前他们在2022年8月披露的事件中获得的信息访问了一个基于云的存储环境，一些消息来源代码和技术信息被盗，并被用于攻击另一名员工，以获取用于访问和解密基于云存储服务中的某些存储凭证和密钥。 LastPass已经确定，黑客一旦获得云存储访问密钥和双存储容器解密密钥，就会从备份中复制信息，其中包含客户账户信息和相关元数据，例如公司名称、最终用户名称、账单地址、客户访问LastPass服务时使用的电子邮件地址、电话号码和IP地址。 此外，黑客还能从加密存储容器中复制客户保险库数据的备份。 黑客可能会尝试使用蛮力猜测用户的主密码并解密他们获取的保险库数据副本，还可能针对与LastPass保险库关联的在线帐户进行网络钓鱼攻击。