一名黑客入侵了密码管理器但该公司的初步调查显示,此次入侵仅涉及该公司用于软件开发的内部系统,并未涉及任何与客户密码有关的数据。
周四,LastPass向客户发送了一封关于该漏洞的电子邮件,该公司大约两周前发现了这一漏洞。
该公司表示:“我们已经确定,未经授权的一方通过一个被入侵的开发人员账户访问了部分LastPass开发环境,并获取了部分源代码和一些专有的LastPass技术信息。”
“我们没有证据表明这起事件涉及任何对客户数据或加密密码库的访问,”该消息补充道。
作为回应,该公司已经采取了“遏制和缓解措施”,并聘请了一家领先的网络安全公司对入侵进行调查。该公司还发布了一份常见问题解答(在新窗口打开)该公司指出,尽管遭到入侵,但LastPass的所有产品和服务都在正常运行。
在供应商展开取证调查之际,LastPass没有提供其他细节。但一个主要的担忧是,被盗的专有数据是否会为网络犯罪分子发现该公司密码管理产品的漏洞铺平道路。
目前,该公司的常见问题解答中指出,LastPass并不存储用户通过密码管理服务访问账户时使用的“主密码”信息。相反,该公司依赖于“零知识”加密模型(在新窗口打开)解锁对用户帐户的访问权限。这涉及到只在客户的设备上存储主密码。
“目前,我们不建议代表我们的用户或管理员采取任何行动,”该公司的FAQ补充道。但是为了获得额外的保护,可以考虑激活多因素身份验证(在新窗口打开)为了你。LastPass计划在调查进行过程中向客户通报相关情况。
尼尔·鲁本金他收到了LastPass发来的邮件,但表示并不担心。即使被访问的数据包括加密的密码库,“没有密码,小偷也无法进入。LastPass(像所有密码管理器一样)从不存储你的密码,只存储密码的哈希值。”