Firma LastPass, zajmująca się oprogramowaniem do zarządzania hasłami, doznała naruszenia danych, które doprowadziło do kradzieży kodu źródłowego i prywatnych informacji technicznych.
Firma, której właścicielem jest GoTo (wcześniej LogMeIn), ujawniła naruszenie w internetowym powiadomieniu opublikowanym w czwartek, ale nalegała, aby nie naruszać haseł głównych klientów ani żadnych zaszyfrowanych danych z magazynu haseł.
Dyrektor generalny LastPass, Karim Tuba, powiedział, że dwa tygodnie temu zespół ds. bezpieczeństwa firmy odkrył niezwykłą aktywność w częściach środowiska programistycznego LastPass i wszczął dochodzenie, które potwierdziło kradzież kodu źródłowego.
Ustaliliśmy, że nieupoważniona strona uzyskała dostęp do części środowiska programistycznego LastPass za pośrednictwem jednego zhakowanego konta programisty i zabrała fragmenty kodu źródłowego oraz niektóre informacje techniczne LastPass. Nasze produkty i usługi działają normalnie.
W odpowiedzi na incydent wdrożyliśmy środki ograniczające i łagodzące, a także zaangażowaliśmy wiodącą firmę w dziedzinie cyberbezpieczeństwa i analiz kryminalistycznych. Podczas naszego dochodzenia osiągnęliśmy zabezpieczenie, wdrożyliśmy dodatkowe wzmocnione środki bezpieczeństwa i nie widzimy dalszych dowodów na nieautoryzowane działania.
Tuba powiedział, że firma ocenia więcej technologii łagodzących, aby poprawić swoje środowisko.
[ READ: LastPass Automated Warnings Linked to 'Credential Stuffing’ Attack ]
Co najważniejsze, LastPass twierdzi, że incydent nie wpłynął na hasła główne, które zarządzają dostępem do zaszyfrowanych skarbców w głównym menedżerze haseł.
„Nigdy nie przechowujemy ani nie znamy Twojego hasła głównego”, powiedział Tuba, zauważając, że LastPass wykorzystuje architekturę zerowej wiedzy, która zapewnia, że firma nigdy nie będzie mogła poznać ani uzyskać dostępu do hasła głównego klienta.
Powiedział, że dochodzenie nie wykazało żadnych dowodów na nieautoryzowany dostęp do zaszyfrowanych danych sklepu lub danych klientów w środowisku produkcyjnym LastPass.
Na piętach pojawia się najnowszy hack Użytkownicy LastPass będący celem ataków „upychania poświadczeń” które wykorzystują adresy e-mail i hasła uzyskane z włamań osób trzecich.
LastPass ma ponad 30 milionów użytkowników i 85 000 klientów biznesowych na całym świecie.
Związane z: Automatyczne ostrzeżenia LastPass związane z atakiem „upychania poświadczeń”
Związane z: Luki bezpieczeństwa w odsłoniętych hasłach użytkowników LastPass
Związane z: Luka LastPass umożliwia hakerom kradzież haseł
Ryan Narain jest redaktorem podróżującym w SecurityWeek i gospodarzem popularnego programu Rozmowy o bezpieczeństwie kolejność produktów. Ryan jest doświadczonym strategiem ds. cyberbezpieczeństwa, który stworzył programy zaangażowania w bezpieczeństwo dla głównych światowych marek, w tym Intel Corp. oraz Bishop Fox i Kaspersky GREAT. Jest współzałożycielem Threatpost i SAS Global Conference Series. Wcześniejsza kariera Ryana jako dziennikarza zajmującego się bezpieczeństwem obejmowała drobne kwestie w głównych publikacjach technologicznych, w tym Ziff Davis eWEEK i ZDNet z CBS Interactive, PCMag i PC World. Ryan jest dyrektorem organizacji non-profit Security Tinkerers, doradcą początkujących przedsiębiorców i regularnym prelegentem na konferencjach poświęconych bezpieczeństwu na całym świecie.
Śledź Ryana na Twitterze Umieść tweeta.
Tagi:
„Chcę być miłośnikiem telewizji. Certyfikowany entuzjasta popkultury. Stypendysta Twittera. Student amator.”
More Stories
Wydarzenie Mirrorwatch w Overwatch 2 jest tak dobre, że zrobiło mi się smutno
Dlaczego roboty nie mogą wyprzedzić zwierząt?
Badanie ujawnia nowy model diagnostyczny raka pęcherza moczowego oparty na kluczowych genach mitochondrialnych