LastPass 遭黑客攻击,源代码和专有技术泄漏


知名的密码管理公司 LastPass 日前证实,公司遭到了黑客攻击,部分源代码和专有技术信息遭窃取,但用户数据并没有遭到泄漏。

此次黑客攻击实际上发生在两周前,但 LastPass 直到现在才发布安全公告,确认它是通过一个泄露的开发者账户被入侵的,黑客利用该账户访问了公司的开发者环境。LastPass 表示没有证据表明用户和企业的数据,以及加密的密码库在此次事件中受到了影响,但确认黑客已经窃取了他们的部分源代码和专有技术信息。

LastPass 还表示为了应对这一事件,已经加强并部署了额外的安全措施,还聘请了一家领先的网络安全和取证公司。在公告中 LastPass 并没有提供这次攻击的更多细节,例如黑客是如何获取开发者账户的,以及具体有哪些源代码和专有技术信息被盗。

LastPass 完整安全公告如下:

公告节选:

我们最近在 LastPass 的部分开发环境中发现了一些异常活动。我们已经确定,有未经授权的一方通过泄漏的开发者账户获得了对 LastPass 开发环境部分的访问权,并窃取了部分源代码和一些 LastPass 专有技术信息。我们没有证据表明这一事件涉及对客户数据或加密密码库的任何访问,我们的产品和服务依然保持正常运作。

作为回应,我们立即展开了调查,部署了缓解措施,并聘请了一家领先的网络安全和取证公司。虽然我们的调查还在进行中,但我们已经达到了遏制的状态,实施了额外的强化安全措施,并且没有看到进一步的未经授权的活动的证据。

LastPass 强调到,此次事件发生在开发环境中,这个环境并不会保存用户信息和用户保险库,而且 LastPass 不会以任何形式存储用户的主密码,因此上述这些信息在此次事件中没有受到影响。

LastPass 是全球最大的密码管理公司之一,目前有超过 3300 万用户和 10 万家企业使用。

 


相關推薦

2023-03-01

理公司 LastPass 证实公司遭到了黑客攻击,部分源代码和专有技术信息遭窃取。当时用户和企业的数据,以及加密的密码库没有受到影响。 去年 12 月 LastPass 再遭入侵,黑客利用了前一次窃取的信息访问了 LastPass 使用的第三方云

2022-10-11

户在知名的匿名网站 4chan 上公开了英特尔 Alder Lake UEFI 的源代码,与此同时还有一份文件副本被发布到了 GitHub 上(目前这两个网站上的文件均已无法访问,但已在网上传播)。该源代码文件是一个容量达到了 2.8GB 的压缩包,解

2023-01-20

近些年黑客入侵企业系统、窃取企业关键数据、信息和源代码的事件频繁发生,很多时候黑客并没有使用什么高科技的手段,而是利用员工泄漏的账号登录了内部系统,从而获取了想要的信息。 比如去年 8 月 LastPass 发生黑客入

2022-11-05

云存储平台 Dropbox 最近公开了他们遭遇的严重安全事件,黑客通过网络钓鱼的方式获得其 GitHub 账户的访问权,导致 130 个私有的代码仓库被盗。 据 Dropbox 称,这些仓库包括为了公司内部使用而略加修改的第三方库的副本、内部

2021-12-23

商 Check Point Software Technologies 称,一群与伊朗政权有关的黑客(被称为 Charming Kitten 或 APT 35),利用 Log4j 中的漏洞对以色列的七个目标网站或站群发起攻击,其中包括政府网站。 此外,美国网络安全和基础设施安全局(CISA)

2023-10-09

hackernews.com)】 5. JetBrains TeamCity 的漏洞可能让攻击者获得源代码和构建管道的访问权限 没有经过身份验证的攻击者可以利用 JetBrains TeamCity CI/CD 软件中的一个关键安全漏洞,在受影响的系统上远程执行代码。【Critical JetBrains TeamC

2023-01-07

Slack 是全球最知名的通信和协作平台之一,主要是为企业/组织提供服务。2021 年 1 月 Slack 和 Salesforce 宣布达成协议,Salesforce 以约 277 亿美元的价格收购了 Slack,如今 Slack 在全球范围大约有 2000 多万用户。 前段时间正值国外的

2022-09-20

进 Rockstar 的服务器后窃取了《GTA 6》预构建的游戏视频和源代码。 在周日,该黑客先是将《GTA 6》的相关游戏视频上传至 GTAForums 论坛的,其中包含了 90 个游戏相关视频,揭示了游戏中的场景、人物、对话、环境,以及游戏中

2023-02-05

在同行 LastPass 经历了大规模数据泄露事件后,密码管理器 Bitwarden 终于决定响应社区用户的需求,添加对 Argon2 KDF 密匙派生算法的支持。 密钥派生函数 ( KDF) 有多种类型,最常用的密码算法是 PBKDF2,但另一种加密算法 Argon2 可

2022-04-18

GitHub 首席安全官 Mike Hanley 透露,攻击者正在使用被盗的 OAuth 用户令牌从私有存储库中下载数据。 有证据表明,攻击者滥用被盗的 OAuth 用户令牌发给两个第三方 OAuth 集成商 Heroku 和 Travis-CI,然后从包括 npm 在内的数十个组织

2023-11-30

管给第三方,不过这个可能性也较小。 第四,DDOS攻击:黑客采用分布式拒绝服务的方式,抢占了大量的服务器资源,导致用户无法访问,但这个不太可能,因为DDos不会导致数据出错,而且滴滴从体量上来说,有足够的成本和

2023-06-20

击使威胁行为者能够访问 Reddit 的系统并窃取内部文档、源代码、员工数据以及有关公司广告商的有限数据。 BlackCat 方面认领了此次攻击,并表示在入侵公司系统期间窃取了 80 GB 的压缩数据。该团队声称,他们曾在 4 月 13 日和

2022-01-12

因为 Log4j 漏洞的利用尝试。新的渗透技术和规避方法使黑客更容易执行恶意的意图。最令人震惊的是,我们看到一些关键的社会行业涌入最受攻击的名单。教育、政府和医疗行业进入了全球最受攻击行业的前五名。” Dembinsky

2023-01-27

mfight Tactics (TFT) 和该公司的上个版本反作弊平台 Packman 的源代码。目前拳头公司已收到了威胁者发来的 1000 万美元赎金通知 ,要求支付该笔赎金以防止被盗数据公开,但该公司立即拒绝了这笔赎金交易。 在与安全研究组织 VX-