LastPass mówi, że kod źródłowy został skradziony podczas naruszenia danych

Firma LastPass, zajmująca się oprogramowaniem do zarządzania hasłami, doznała naruszenia danych, które doprowadziło do kradzieży kodu źródłowego i prywatnych informacji technicznych.

Firma, której właścicielem jest GoTo (wcześniej LogMeIn), ujawniła naruszenie w internetowym powiadomieniu opublikowanym w czwartek, ale nalegała, aby nie naruszać haseł głównych klientów ani żadnych zaszyfrowanych danych z magazynu haseł.

Dyrektor generalny LastPass, Karim Tuba, powiedział, że dwa tygodnie temu zespół ds. bezpieczeństwa firmy odkrył niezwykłą aktywność w częściach środowiska programistycznego LastPass i wszczął dochodzenie, które potwierdziło kradzież kodu źródłowego.

Z Powiadomienie LastPass:

Ustaliliśmy, że nieupoważniona strona uzyskała dostęp do części środowiska programistycznego LastPass za pośrednictwem jednego zhakowanego konta programisty i zabrała fragmenty kodu źródłowego oraz niektóre informacje techniczne LastPass. Nasze produkty i usługi działają normalnie.

W odpowiedzi na incydent wdrożyliśmy środki ograniczające i łagodzące, a także zaangażowaliśmy wiodącą firmę w dziedzinie cyberbezpieczeństwa i analiz kryminalistycznych. Podczas naszego dochodzenia osiągnęliśmy zabezpieczenie, wdrożyliśmy dodatkowe wzmocnione środki bezpieczeństwa i nie widzimy dalszych dowodów na nieautoryzowane działania.

Tuba powiedział, że firma ocenia więcej technologii łagodzących, aby poprawić swoje środowisko.

[ READ: LastPass Automated Warnings Linked to 'Credential Stuffing’ Attack ]

Co najważniejsze, LastPass twierdzi, że incydent nie wpłynął na hasła główne, które zarządzają dostępem do zaszyfrowanych skarbców w głównym menedżerze haseł.

„Nigdy nie przechowujemy ani nie znamy Twojego hasła głównego”, powiedział Tuba, zauważając, że LastPass wykorzystuje architekturę zerowej wiedzy, która zapewnia, że ​​firma nigdy nie będzie mogła poznać ani uzyskać dostępu do hasła głównego klienta.

Powiedział, że dochodzenie nie wykazało żadnych dowodów na nieautoryzowany dostęp do zaszyfrowanych danych sklepu lub danych klientów w środowisku produkcyjnym LastPass.

Na piętach pojawia się najnowszy hack Użytkownicy LastPass będący celem ataków „upychania poświadczeń” które wykorzystują adresy e-mail i hasła uzyskane z włamań osób trzecich.

LastPass ma ponad 30 milionów użytkowników i 85 000 klientów biznesowych na całym świecie.

Związane z: Automatyczne ostrzeżenia LastPass związane z atakiem „upychania poświadczeń”

Związane z: Luki bezpieczeństwa w odsłoniętych hasłach użytkowników LastPass

Związane z: Luka LastPass umożliwia hakerom kradzież haseł

Ryan Narain jest redaktorem podróżującym w SecurityWeek i gospodarzem popularnego programu Rozmowy o bezpieczeństwie kolejność produktów. Ryan jest doświadczonym strategiem ds. cyberbezpieczeństwa, który stworzył programy zaangażowania w bezpieczeństwo dla głównych światowych marek, w tym Intel Corp. oraz Bishop Fox i Kaspersky GREAT. Jest współzałożycielem Threatpost i SAS Global Conference Series. Wcześniejsza kariera Ryana jako dziennikarza zajmującego się bezpieczeństwem obejmowała drobne kwestie w głównych publikacjach technologicznych, w tym Ziff Davis eWEEK i ZDNet z CBS Interactive, PCMag i PC World. Ryan jest dyrektorem organizacji non-profit Security Tinkerers, doradcą początkujących przedsiębiorców i regularnym prelegentem na konferencjach poświęconych bezpieczeństwu na całym świecie.
Śledź Ryana na Twitterze Umieść tweeta.

Poprzednie artykuły Ryana Naraina:

Tagi: