當今網路世代,為了維護各種網路帳號安全,個人與企業會加購來自密碼管理公司的服務,LastPass 就是一家規模全球數一數二的代表公司。近日, LastPass 傳出被駭客攻擊,不肖人士將目標直接指向該公司的原始程式碼和專有技術資訊,好你個釜底抽薪!
最大密碼管理公司之一 LastPass 近日被駭,原始碼與專利技術直接被竊取
LastPass 是全球最大的密碼管理公司之一,聲稱有超過 3,300 萬的用戶和 10 萬家企業採用該公司服務。這次披露的被駭情事是由內部人士向國外媒體 Bleeping Computer 透露,消息人士指出,在被駭後,LastPass 員工正在竭盡全力地遏止攻擊並修復漏洞。不過 Bleeping Computer 在 8 月 21 日與該公司聯繫後,官方尚未對該媒體提出的問題進行回覆。
在攻擊相關問題傳出後,LastPass 發布一則公告,其中確認駭客透過用來造訪公司開發者環境的受感染帳號,滲透後進行破壞。雖然 LastPass 表示沒有證據顯示用戶數據和加密密碼保險箱受到破壞,但為協行為者確實竊取了他們的部分原始程式碼和專有的 LastPass 技術資訊。
LastPass 解釋道,為了應對此一事件,他們已經部署了遏制和舒緩措施,並聘請了一家網路安全與取證公司進行應對。雖然目前調查仍在持續進行中,但已經確實遏止惡化,並且實施額外的安全強化措施,目前並沒有看到關於進一步進行未經授權活動的證據。LastPass 尚未提供有關此次攻擊的更多詳細資訊,像是威脅行為者如何破壞開發者帳號以及那些程式碼被盜等。
LastPass 透過電子郵件向用戶發送的完整安全建議如下:
LastPass 將密碼存放在「加密的保險庫」 中, 只能使用客戶的主密碼解密, LastPass 說這在這次網路攻擊中沒有人受到損害。在去年,LastPass 受到憑證填充攻擊,允許威脅行為者確認用戶主密碼,據透露 LastPass 的主密碼被傳播 RedLine 密碼竊取惡意軟體的危脅行為者竊取。因此,在你的 LastPass 帳號上啟用多重身分驗證至關重要,即使你的密碼外洩,不肖人士也無法訪問你的帳戶。