知名密码管理公司LastPass两周前遭到了黑客攻击,结果攻击者窃取了这家公司的源代码和专有的技术信息。
IT安全外媒BleepingComputer上周从LastPass的内部人员处获悉了这起攻击事件,并在8月21日联系了这家公司,但当时未收到相关回复。
知情人士告诉BleepingComputer,在LastPass被黑客攻击后,其员工拼命遏制这起攻击。
在回复有关此攻击的相关问题后,LastPass近日发布了一份安全公告,证实了它因开发者帐户被闯入而遭到攻击,黑客利用这个泄密的帐户访问了该公司的开发者环境。
虽然LastPass表示没有证据表明客户数据或加密的密码库遭到了破坏,但攻击者确实窃取了其部分源代码和专有的LastPass技术信息。
LastPass的安全公告解释,为了应对这起事件,该公司已部署了遏制和缓解措施,并聘请了一家知名的网络安全和取证分析公司。虽然调查在进行中,但LastPass已遏制住了势态,实施了额外的强化安全措施,没有看到表明未经授权活动的进一步证据。
LastPass没有透露有关这次攻击、攻击者如何闯入开发者帐户以及哪些源代码被盗的更多详细信息。
下面是通过电子邮件发送给LastPass客户的完整的安全公告。
图1. 通过电子邮件发送给LastPass客户的安全公告
LastPass是世界上最大的密码管理公司之一,声称被超过3300万人和10万家公司企业使用。
由于消费者和公司企业使用该公司的软件安全地存储密码,因此始终有人担心如果这家公司遭到黑客攻击,攻击者可能因而访问用户存储的密码。
然而,LastPass将密码存储在加密的保险库中,只有使用客户的主密码才能进行解密,LastPass声称主密码在这次网络攻击中并没有遭到泄密。
去年LastPass遭到了一起撞库攻击,攻击者得以确认用户的主密码。当时还透露,LastPass主密码被大肆分发窃取密码的RedLine恶意软件的攻击者所窃取。
因此,用户在LastPass帐户上启用多因素身份验证至关重要,这样即使密码泄露,攻击者照样无法访问用户的帐户。
本文翻译自:https://www.bleepingcomputer.com/news/security/lastpass-developer-systems-hacked-to-steal-source-code/如若转载,请注明原文地址