ผู้โจมตีทางไซเบอร์ได้บุกรุกระบบภายในของ LastPass ทำให้เกิดซอร์สโค้ดและทรัพย์สินทางปัญญา
บริษัทจัดการรหัสผ่านกล่าวว่าตรวจพบกิจกรรมผิดปกติในสภาพแวดล้อมการพัฒนาเมื่อสองสัปดาห์ก่อน หลังจากขุดเข้าไปในข้อมูลทางนิติเวชแล้ว ผู้ตรวจสอบพบว่ามีบางคน (หรือบางคน) บุกรุกบัญชีนักพัฒนาซอฟต์แวร์เพื่อเข้าถึงเครือข่าย โดยนำ “ซอร์สโค้ดบางส่วนและข้อมูลทางเทคนิคบางอย่างที่เป็นกรรมสิทธิ์ของ LastPass” อ้างจาก ประกาศที่โพสต์ในสัปดาห์นี้.
ที่สำคัญคือ ฝ่ายตรงข้ามไม่สามารถเข้าถึงข้อมูลลูกค้าหรือห้องนิรภัยรหัสผ่านที่เข้ารหัสได้
“เราใช้สถาปัตยกรรม 'zero-knowledge' ที่เป็นมาตรฐานอุตสาหกรรม ซึ่งทำให้ LastPass ไม่มีทางรู้หรือเข้าถึง Master Password ของลูกค้าของเราได้ [และมัน] ทำให้แน่ใจว่ามีเพียงลูกค้าเท่านั้นที่สามารถเข้าถึงถอดรหัสข้อมูลในห้องนิรภัยได้” LastPass.
ที่กล่าวว่า Ajay Arora ผู้ร่วมก่อตั้งและประธานของ BluBracket ตั้งข้อสังเกตว่าผู้โจมตีจะมองหาจุดอ่อนที่อาจเป็นไปได้อย่างหนักเพื่อใช้ประโยชน์จากซอร์สโค้ด LastPass ซึ่งอาจนำไปสู่การโจมตีที่ตามมา
“ผลที่ตามมาเพิ่มเติมที่อาจเกิดขึ้นจากซอร์สโค้ดที่ถูกขโมยหรือรั่วไหลก็คือรหัสนี้สามารถเปิดเผยความลับเกี่ยวกับสถาปัตยกรรมของแอพพลิเคชั่นได้” เขากล่าวผ่านแถลงการณ์ทางอีเมล “สิ่งนี้อาจเปิดเผยข้อมูลเกี่ยวกับตำแหน่งที่จัดเก็บข้อมูลบางอย่างและทรัพยากรอื่นๆ ที่องค์กรอาจใช้ ปัจจัยเหล่านี้สามารถทำให้ผู้กระทำผิดสร้างความเสียหายเพิ่มเติมต่อองค์กรหลังจากข้อเท็จจริงได้”
Tom Kellermann รองประธานอาวุโสฝ่ายกลยุทธ์ทางไซเบอร์ของ Contrast Security กล่าวในแถลงการณ์ว่าผู้โจมตีสามารถสำรวจไปรอบ ๆ เพื่อดูว่าพวกเขาสามารถหาทางเข้าสู่เครือข่ายพันธมิตร LastPass หรือซัพพลายเออร์ได้หรือไม่
“บริษัทรักษาความปลอดภัยทางไซเบอร์กำลังตกเป็นเป้าหมายในการอำนวยความสะดวก กระโดดเกาะ," เขาพูดว่า. "หลังจาก FireEye ฝ่าฝืน, อุตสาหกรรมควรจะตื่นขึ้น. ในปี 2022 บริษัทรักษาความปลอดภัยทางไซเบอร์ต้องปฏิบัติตามสิ่งที่พวกเขาสั่งสอน หลายคนยังคงลงทุนต่ำในการรักษาความปลอดภัยในโลกไซเบอร์ของตนเอง คาดว่าจะโดนตีและเตรียมตอบโต้”
- blockchain
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- การอ่านที่มืด
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความปลอดภัยของเว็บไซต์