Cyberatakujący naruszyli wewnętrzne systemy LastPass, uciekając się do kodu źródłowego i własności intelektualnej.
Firma zarządzająca hasłami poinformowała, że dwa tygodnie temu wykryła nietypową aktywność w środowisku programistycznym. Po przekopaniu się do danych kryminalistycznych śledczy ustalili, że ktoś (lub ktoś) włamał się na konto programisty, aby uzyskać dostęp do sieci, biorąc „części kodu źródłowego i niektóre zastrzeżone informacje techniczne LastPass”, zgodnie z ogłoszenie opublikowane w tym tygodniu.
Co najważniejsze, przeciwnicy nie byli w stanie uzyskać dostępu do danych klientów ani zaszyfrowanych skarbców haseł.
„Wykorzystujemy standardową w branży architekturę„ zerowej wiedzy ”, która zapewnia, że LastPass nigdy nie pozna ani nie uzyska dostępu do hasła głównego naszych klientów [i] zapewnia, że tylko klient ma dostęp do odszyfrowania danych skarbca”, zgodnie z LastPass.
To powiedziawszy, Ajay Arora, współzałożyciel i prezes BluBracket, zauważył, że atakujący będą intensywnie szukać potencjalnych słabości, które można wykorzystać w kodzie źródłowym LastPass, co może prowadzić do kolejnych ataków.
„Dodatkową konsekwencją, która może wystąpić w przypadku kradzieży lub wycieku kodu źródłowego, jest to, że kod ten może ujawnić tajemnice dotyczące architektury aplikacji” – powiedział w oświadczeniu przesłanym pocztą elektroniczną. „Może to ujawnić informacje o tym, gdzie przechowywane są określone dane i z jakich innych zasobów może korzystać organizacja. Czynniki te mogą następnie wyposażyć złych aktorów do wyrządzenia dodatkowej szkody organizacji po fakcie”.
Tom Kellermann, starszy wiceprezes ds. strategii cybernetycznej w Contrast Security, powiedział również w oświadczeniu, że atakujący mogli sondować, aby sprawdzić, czy mogą znaleźć drogę do sieci partnerów lub dostawców LastPass.
„Firmy cyberbezpieczeństwa mają na celu ułatwienie skakanie po wyspie," powiedział. "Po Naruszenie Ognistego Okabranża powinna się obudzić. W 2022 r. firmy zajmujące się cyberbezpieczeństwem muszą praktykować to, co głoszą. Wielu wciąż nie inwestuje we własne cyberbezpieczeństwo. Spodziewaj się trafienia i przygotuj się na odpowiedź.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
