LastPass 开发者系统被黑客窃取源代码

 

据外媒8月25日消息披露：

密码管理公司 LastPass 两周前遭到黑客攻击，攻击者可以窃取该公司的源代码和专有技术信息。

消息人士告诉 BleepingComputer，在 LastPass 被攻破后，员工正在积极地遏制攻击。

在媒体发送有关此次攻击的问题后，LastPass 于当地时间8月25日发布了一份安全公告，确认该攻击是通过黑客用来访问公司开发人员环境的受损开发人员帐户而被破坏的。

 LastPass security advisory emailed to customers

虽然 LastPass 表示没有证据表明客户数据或加密的密码库遭到破坏，但威胁参与者确实窃取了他们的部分源代码和“专有的 LastPass 技术信息”。

“为应对这一事件，我们已经部署了遏制和缓解措施，并聘请了一家领先的网络安全和取证公司，”LastPass 方面已提供解释。

“虽然我们的调查正在进行中，但我们已经达到了遏制状态，实施了额外的强化安全措施，并且没有看到任何未经授权的活动的进一步证据。”

不过，LastPass 没有提供有关此次攻击、攻击者如何入侵开发者帐户以及哪些源代码被盗的更多详细信息。

LastPass 是世界上最大的密码管理公司之一，声称被超过 3300 万人和 100,000 家企业使用。

由于消费者和企业使用该公司的软件来安全地存储他们的密码，因此总是有人担心如果该公司被黑客入侵，它可能会允许攻击者访问存储的密码。

然而，LastPass 将密码存储在“加密保险库”中，只能使用客户的主密码进行解密，LastPass 称该密码在此次网络攻击中并未受到破坏。

去年，LastPass 遭受了撞库攻击，攻击者可以确认用户的主密码。

据透露，LastPass 主密码被分发 RedLine 密码窃取恶意软件的威胁行为者窃取。

 此次泄露事件引发的当地讨论

关于【 泛联新安 】

泛联新安是国内领先的基础软件提供商。在国内率先布局，持续深耕智能程序分析、编译器技术、软件逆向分析、软件漏洞挖掘、高性能程序仿真等底层核心技术方向，研发自主创新的可信软件产品。

现有软件质量测试、软件安全测试、数字电路验证（EDA）三大类10余款产品，所有产品全部拥有自主知识产权，已在军工、航空航天、轨道交通、金融、电力、互联网等领域积累大量头部客户。

与清华大学合作成立北京清科智信科技有限公司，与中科院共同投资组建中科空间（长沙）信息科技研究院，与国防科技大学共建湖南省软件安全智能并行分析重点实验室。现拥有核心知识产权申请和授权发明专利、软件著作权69项，获得CWE、泰尔实验室、麒麟软件Neo Certify等多项国内外认证。

泛联新安致力于帮助企业快速构建安全、优质的软件，通过提供代码功能检测、已知漏洞比对、未知漏洞挖掘等多款检测产品，推动DevSecOps、AppSec、CI/CD战略、SBOM清单、风险评估及资产管理等软件安全理念在具体工程中的实践落地，引入从源头及时治理安全问题、洞察代码风险、为客户提供当前软件安全性活动的概况呈现及管理，助力企业更高效落地，推动产业数字化转型，提升高质量发展速度。