一个黑客潜入了密码管理器但该公司的初步调查显示,这次入侵只进入了该公司的软件开发内部系统,而没有任何与客户密码有关的数据。
周四,LastPass向客户发送了一封关于该漏洞的电子邮件,该公司大约两周前发现了漏洞。
该公司表示:“我们已经确定,一个未经授权的组织通过一个被泄露的开发人员账户访问了LastPass开发环境的部分内容,并获取了部分源代码和一些LastPass专有技术信息。”
“我们没有证据表明这次事件涉及任何访问客户数据或加密密码库的行为,”该消息补充道。
作为回应,该公司已经采取了“遏制和缓解措施”,并聘请了一家领先的网络安全公司调查入侵事件。该公司还发布了一份常见问题解答(在一个新窗口中打开)该网站指出,尽管存在漏洞,但LastPass的所有产品和服务都在正常运行。
在该供应商着手进行取证调查之际,LastPass没有提供其他细节。但一个主要的担忧是,被盗的专有数据是否会为网络犯罪分子发现该公司密码管理产品的漏洞铺平道路。
目前,该公司的FAQ指出,LastPass不会存储用户通过密码管理服务访问账户时使用的“主密码”信息。相反,该公司依赖于“零知识”加密模型(在一个新窗口中打开)解锁对用户帐户的访问权限。这涉及到只将主密码存储在客户的设备上。
“目前,我们不建议代表我们的用户或管理员采取任何行动,”该公司的FAQ补充道。但如果需要额外的保护,请考虑激活多因素身份验证(在一个新窗口中打开)在您的帐户。LastPass计划在调查进行过程中向客户通报相关情况。
尼尔·j·Rubenking他收到了来自LastPass的邮件,但表示他并不担心。即使被访问的数据包括加密的密码库,“小偷没有密码也无法进入。LastPass(和所有密码管理器一样)从不存储你的密码,只存储密码的散列。”