网络攻击者已经破坏了 LastPass 的内部系统,窃取了源代码和知识产权。
这家密码管理公司表示,两周前在其开发环境中检测到异常活动。 在深入研究取证数据后,调查人员确定有人(或某些人)入侵了开发人员帐户以获取网络访问权限,并获取了“部分源代码和一些专有的 LastPass 技术信息”,根据 本周发布的公告.
至关重要的是,攻击者无法访问客户数据或加密密码库。
“我们采用行业标准的‘零知识’架构,确保 LastPass 永远不会知道或访问我们客户的主密码 [并且它] 确保只有客户才能访问解密保险库数据,”根据 LastPass的.
话虽如此,BluBracket 的联合创始人兼总裁 Ajay Arora 指出,攻击者将努力寻找可以在 LastPass 源代码中利用的潜在弱点,从而可能导致后续攻击。
“源代码被盗或泄露的另一个后果是,该代码可能泄露有关应用程序架构的秘密,”他通过电子邮件声明说。 “这可能会揭示有关某些数据的存储位置以及组织可能使用的其他资源的信息。 这些因素可能会让不良行为者在事后对组织造成额外伤害。”
Contrast Security 网络战略高级副总裁汤姆·凯勒曼(Tom Kellermann)也在一份声明中表示,攻击者可能一直在四处探索,看看他们是否能找到进入 LastPass 合作伙伴或供应商网络的途径。
“网络安全公司的目标是促进 岛屿跳跃,“ 他说。 “之后 火眼突破,行业应该已经觉醒了。 2022 年,网络安全公司必须实践他们所宣扬的。 许多人仍然对自己的网络安全投资不足。 预计会受到打击并准备应对。”
