תוקפי סייבר התפשרו על המערכות הפנימיות של LastPass, והחלו עם קוד מקור וקניין רוחני.
חברת ניהול הסיסמאות אמרה כי זיהתה פעילות חריגה בסביבת הפיתוח שלה לפני שבועיים. לאחר חפירה בנתונים הפורנזיים, החוקרים קבעו שמישהו (או מישהו) פרץ חשבון מפתח כדי לקבל גישה לרשת, תוך שהוא לוקח "חלקים של קוד מקור וקצת מידע טכני קנייני של LastPass", על פי כתב הודעה שפורסמה השבוע.
באופן מכריע, היריבים לא היו מסוגלים לגשת לנתוני לקוחות או לכספות סיסמאות מוצפנות.
"אנו משתמשים בארכיטקטורת 'אפס ידע' סטנדרטית שמבטיחה ש- LastPass לעולם לא יוכל לדעת או לקבל גישה לסיסמת הראשית של הלקוחות שלנו [והיא] מבטיחה שרק ללקוח תהיה גישה לפענוח נתוני כספת", לפי LastPass.
עם זאת, Ajay Arora, מייסד שותף ונשיא ב-BluBracket, ציין כי התוקפים יחפשו בחוזקה חולשות פוטנציאליות לניצול בקוד המקור של LastPass, שעלולות להוביל להתקפות עוקבות.
"תוצאה נוספת שיכולה להתרחש מקוד מקור גנוב או דלף היא שקוד זה יכול לחשוף סודות על ארכיטקטורת האפליקציה", אמר בהצהרה שנשלחה בדוא"ל. "זה עשוי לחשוף מידע על היכן מאוחסנים נתונים מסוימים ובאילו משאבים אחרים ארגון עשוי להשתמש. גורמים אלה עלולים לצייד שחקנים רעים לגרום נזק נוסף לארגון לאחר מעשה".
טום קלרמן, סגן נשיא בכיר לאסטרטגיית סייבר ב-Contrast Security, אמר גם הוא בהצהרה כי התוקפים יכלו לחקור ולבדוק אם הם יכולים למצוא דרך לרשתות שותפי LastPass או ספקים.
"חברות אבטחת סייבר ממוקדות כדי להקל אי מקפץ," הוא אמר. "לאחר פריצת FireEye, התעשייה הייתה צריכה להתעורר. בשנת 2022, חברות אבטחת סייבר חייבות לתרגל את מה שהן מטיפים. רבים עדיין משקיעים פחות באבטחת הסייבר שלהם. צפו להיפגע והתכוננו להגיב".
