内部源代码和文件已被网络窃贼从 LastPass 窃取。
这家密码管理器制造商周四表示,有人闯入了其开发人员的一个帐户,并利用该帐户访问了专有数据。
这家总部位于马萨诸塞州的安全界巨头坚称其用户的密码仍然安全,并补充说盗窃事件发生在大约两周前。据说 GoTo 拥有的 LastPass 拥有超过 2500 万用户和 80,000 名企业客户。
“我们已经确定,未经授权的一方通过一个受感染的开发人员帐户获得了对 LastPass 开发环境的部分访问权限,并获取了部分源代码和一些专有的 LastPass 技术信息,”首席执行官 Karim Toubba 在一份声明中说。
“我们的产品和服务运行正常。”
图巴补充道:
在立即展开调查后,我们没有看到任何证据表明此事件涉及对客户数据或加密密码库的任何访问。
我们被告知,在 LastPass 的计算机网络的开发区域检测到“一些不寻常的活动”之后,入侵变得明显。该软件公司表示,它已经控制了安全漏洞,并采取措施防止它再次发生,并联系了外部信息安全专家寻求帮助。
密码管理工具制造商表示,我们无法相信人们使用浏览器来管理他们的密码
这位首席执行官表示,他的机构可能会采取进一步措施来加强其网络防御。
LastPass 提供了一个软件库,用于存储您用于登录网站的用户名和密码对,让您不必记住大量冗长的复杂字符串:您可以为每个站点帐户创建唯一且难以破解的密码,并将其保存在您的库中。需要主密码来解锁和使用这些凭据。您所要做的就是创建并记住那个秘密短语。
我们被告知这些主密码仍然是安全的,没有被入侵者破坏或访问,人们的保险库的内容也没有受到影响。一方面,LastPass 不知道或保留您的主密码副本:这是为了让您记住和保护。
坐下来放松是信息。“我们的调查显示,没有证据表明在我们的生产环境中对客户数据进行了任何未经授权的访问,”LastPass 在一份声明中补充道。“目前,我们不代表我们的用户或管理员建议采取任何行动。”
也就是说,LastPass 多年来一直没有犯错。在 2019 年,它修复了一个漏洞,网站可以利用该漏洞窃取其他网站帐户的密码,在 2017 年的代码中存在严重的密码泄露漏洞,等等。
