8 月, LastPass 承认“未经授权的一方”进入其系统。任何有关密码管理器被黑客入侵的消息都可能令人震惊,但该公司现在向用户保证,他们的登录名和其他信息在事件中没有受到损害。
LastPass 首席执行官 Karim Toubba 在有关此事件的最新更新中表示,该公司与网络安全公司 Mandiant 的调查显示,该不良行为者可以在四天内对其系统进行内部访问。他们能够窃取密码管理器的一些源代码和技术信息,但他们的访问权限仅限于与客户数据和加密保险库无关的服务开发环境。此外,Toubba 指出 LastPass 无法访问用户的主密码,而这些密码是解密他们的保险库所必需的。
首席执行官表示,没有证据表明此事件“涉及对客户数据或加密密码库的任何访问”。他们还没有发现超过这四天的未经授权访问的证据,也没有发现黑客向系统注入恶意代码的任何痕迹。 Toubba 解释说,不良行为者能够通过破坏开发人员的端点来渗透服务系统。然后,黑客“在开发人员使用多因素身份验证成功进行身份验证后”冒充开发人员。
早在 2015 年,LastPass 就遭遇了安全漏洞,导致用户的电子邮件地址、身份验证哈希、密码提醒和其他信息受到影响。如今,类似的违规行为将更具破坏性,因为该服务据称拥有超过 3300 万注册客户。虽然这次 LastPass 并没有要求用户做任何事情来保护他们的数据安全,但最好不要重复使用密码并打开多因素身份验证。
原文: https://www.engadget.com/lastpass-hacked-no-user-data-was-compromised-064640557.html?src=rss