当今网路世代,为了维护各种网路帐号安全,个人与企业会加购来自密码管理公司的服务,LastPass 就是一家规模全球数一数二的代表公司。近日, LastPass 传出被骇客攻击,不肖人士将目标直接指向该公司的原始程式码和专有技术资讯,好你个釜底抽薪!
最大密码管理公司之一 LastPass 近日被骇,原始码与专利技术直接被窃取
LastPass 是全球最大的密码管理公司之一,声称有超过 3,300 万的用户和 10 万家企业采用该公司服务。这次披露的被骇情事是由内部人士向国外媒体 Bleeping Computer 透露,消息人士指出,在被骇後,LastPass 员工正在竭尽全力地遏止攻击并修复漏洞。不过 Bleeping Computer 在 8 月 21 日与该公司联系後,官方尚未对该媒体提出的问题进行回覆。
在攻击相关问题传出後,LastPass 发布一则公告,其中确认骇客透过用来造访公司开发者环境的受感染帐号,渗透後进行破坏。虽然 LastPass 表示没有证据显示用户数据和加密密码保险箱受到破坏,但为协行为者确实窃取了他们的部分原始程式码和专有的 LastPass 技术资讯。
LastPass 解释道,为了应对此一事件,他们已经部署了遏制和舒缓措施,并聘请了一家网路安全与取证公司进行应对。虽然目前调查仍在持续进行中,但已经确实遏止恶化,并且实施额外的安全强化措施,目前并没有看到关於进一步进行未经授权活动的证据。LastPass 尚未提供有关此次攻击的更多详细资讯,像是威胁行为者如何破坏开发者帐号以及那些程式码被盗等。
LastPass 透过电子邮件向用户发送的完整安全建议如下:
LastPass 将密码存放在「加密的保险库」 中, 只能使用客户的主密码解密, LastPass 说这在这次网路攻击中没有人受到损害。在去年,LastPass 受到凭证填充攻击,允许威胁行为者确认用户主密码,据透露 LastPass 的主密码被传播 RedLine 密码窃取恶意软体的危胁行为者窃取。因此,在你的 LastPass 帐号上启用多重身分验证至关重要,即使你的密码外泄,不肖人士也无法访问你的帐户。