Colin Thierry
Publicerad på: Augusti 30, 2022
Populärt varumärke för lösenordshanterare Lastpass bekräftade att den var måltavla av hotaktörer i en cyberattack för två veckor sedan. Enligt företaget stals delar av dess källkod och proprietär teknisk information i attacken.
"För två veckor sedan upptäckte vi en del ovanlig aktivitet inom delar av LastPass utvecklingsmiljö," sa LastPass VD Karim Toubba i en säkerhetsrådgivande på torsdag. "Efter att ha inlett en omedelbar undersökning har vi inte sett några bevis för att denna incident involverade någon åtkomst till kunddata eller krypterade lösenordsvalv."
När rykten om attacken började dyka upp, bekräftade LastPass det i säkerhetsrådgivningen förra veckan. Företaget tillade också att hotaktörer använde ett äventyrat utvecklarkonto för att bryta sig in i sin utvecklarmiljö.
Även om hackarna tog delar av företagets källkod och "proprietär LastPass-information", sa LastPass att de krypterade lösenordsvalven och kunddata fortfarande inte visade några tecken på att ha blivit utsatta.
Företaget avslöjade dock inte vilka delar av källkoden som stulits och exakt hur attacken gick till.
"Som svar på incidenten har vi implementerat inneslutnings- och begränsningsåtgärder och anlitat en ledande cybersäkerhets- och kriminalteknisk firma", tillade Touba i säkerhetsrådgivningen. "Medan vår utredning pågår har vi uppnått ett tillstånd av inneslutning, implementerat ytterligare förbättrade säkerhetsåtgärder och ser inga ytterligare bevis på obehörig aktivitet."
Detta är inte den cyberattack som LastPass har varit målet för under det senaste året. I december 2021 blev LastPass-användare offer för attacker med fyllnadsinformation och meddelades av företaget att någon använde sina huvudlösenord för att försöka komma åt deras konton. LastPass såg dock till att blockera alla inloggningsförsök som kommer från okända enheter eller platser. Credential stuffing-attacker är när hotaktörer använder tidigare läckta kombinationer av användarnamn och lösenord för att brute-force och få obehörig åtkomst till användarnas konton.
