サイバー攻撃者が LastPass の内部システムを侵害し、ソース コードと知的財産を盗み出しました。
パスワード管理会社は、XNUMX 週間前に開発環境で異常な活動を検出したと述べました。 フォレンジック データを掘り下げた後、捜査官は、誰か (または誰か) がネットワークへのアクセスを得るために開発者アカウントを侵害し、「ソース コードの一部といくつかの独自の LastPass 技術情報」を盗んだと判断しました。 今週投稿されたお知らせ.
重要なことは、攻撃者が顧客データや暗号化されたパスワード ボールトにアクセスできなかったことです。
「LastPass が顧客のマスター パスワードを知ることも、アクセスすることも決してできないようにする業界標準の「ゼロ知識」アーキテクチャを利用しています。 のLastPass.
とはいえ、BluBracket の共同設立者兼社長である Ajay Arora 氏は、攻撃者は LastPass のソース コードで悪用できる潜在的な弱点を探し求めており、その後の攻撃につながる可能性があると述べています。
「ソース コードが盗まれたり漏洩したりした場合、さらに別の結果として、このコードがアプリケーションのアーキテクチャに関する秘密を漏らしてしまう可能性があります」 「これにより、特定のデータが保存されている場所や、組織が使用できる他のリソースに関する情報が明らかになる可能性があります。 これらの要因により、悪意のある人物が事後に組織に追加の損害を与える可能性があります。」
Contrast Security のサイバー戦略担当シニア バイス プレジデントである Tom Kellermann 氏も声明の中で、攻撃者は LastPass のパートナーやサプライヤーのネットワークへの道を見つけることができるかどうかを調べていた可能性があると述べています。
「サイバーセキュリティ企業は、容易にするために標的にされています 島巡り、" 彼は言った。 "後に ファイアアイの侵害、業界は目を覚ましたはずです。 2022 年、サイバーセキュリティ企業は説教を実践しなければなりません。 多くの企業は、自社のサイバーセキュリティへの投資をまだ十分に行っていません。 攻撃を受けることを想定し、対応する準備をしてください。」
