據(jù)Bleeping Computer報(bào)道，密碼管理巨頭 LastPass 兩周前遭到黑客攻擊，盡管公司在發(fā)現(xiàn)攻擊行為后已經(jīng)拼命進(jìn)行阻止，但是結(jié)果令人感到惋惜，黑客依舊突破了封鎖，可竊取該公司的源代碼和專(zhuān)有技術(shù)信息。

8月25日，在發(fā)送有關(guān)此次攻擊的問(wèn)題后，LastPass 發(fā)布了一份安全公告，確認(rèn)黑客是通過(guò)訪問(wèn)公司開(kāi)發(fā)人員的賬戶(hù)進(jìn)行入侵，并對(duì)開(kāi)發(fā)環(huán)境進(jìn)行破壞。

在發(fā)布的安全報(bào)告中，LastPass表示目前沒(méi)有任何證據(jù)表明客戶(hù)數(shù)據(jù)或加密的密碼庫(kù)遭到破壞，但承認(rèn)攻擊者確實(shí)竊取了部分“源代碼”和“LastPass 專(zhuān)有的技術(shù)信息”。

攻擊事件發(fā)生后，LastPass對(duì)外稱(chēng)已經(jīng)聘請(qǐng)了一家領(lǐng)先的網(wǎng)絡(luò)安全和取證公司進(jìn)行處理，盡可能部署遏制和緩解措施，降低該事件帶來(lái)的影響?！半m然該事件的調(diào)查還在持續(xù)進(jìn)行，但是我們已經(jīng)有效遏制了此次攻擊，實(shí)施了額外的強(qiáng)化安全措施，并且沒(méi)有看到任何未經(jīng)授權(quán)的活動(dòng)的進(jìn)一步證據(jù)。”

LastPass向客戶(hù)發(fā)送了電子郵件告知此次攻擊事件，至于和此次攻擊的詳細(xì)過(guò)程，以及攻擊者如何入侵開(kāi)發(fā)者帳戶(hù)，哪些源代碼和專(zhuān)有技術(shù)信息被盜等相關(guān)信息，LastPass 并沒(méi)有對(duì)外提供。

LastPass 安全咨詢(xún)通過(guò)電子郵件發(fā)送給客戶(hù)

資料顯示，LastPass 是世界上最大的密碼管理公司之一，對(duì)外宣稱(chēng)有超過(guò)3300萬(wàn)人和10萬(wàn)家企業(yè)正在使用其產(chǎn)品。

由于消費(fèi)者和企業(yè)使用該公司的軟件來(lái)安全地存儲(chǔ)他們的密碼，因此不少用戶(hù)對(duì)于此次攻擊事件的衍生后果表示非常擔(dān)憂，如果黑客獲取了相應(yīng)的權(quán)限，那么很有可能被允許訪問(wèn)用戶(hù)存儲(chǔ)的密碼信息。

對(duì)此，LastPass表示公司將密碼存儲(chǔ)在“加密保險(xiǎn)庫(kù)”中，只能使用客戶(hù)的主密碼進(jìn)行解密，在此次攻擊中并未收到任何破壞。

但是該聲明并未打消用戶(hù)的全部疑慮，因?yàn)樵?021年，LastPass曾遭受撞庫(kù)攻擊，并且攻擊者可以確認(rèn)用戶(hù)的主密碼。更糟糕的是，這些主密碼被使用RedLine 密碼竊取惡意軟件的攻擊者竊取。

換句話說(shuō)，用戶(hù)不可因?yàn)樾湃蜭astPass 而完全放松警惕，主密碼也有可能在網(wǎng)絡(luò)攻擊中泄露，所以在LastPass 帳戶(hù)上啟用多因素身份驗(yàn)證是一件非常有必要的措施。此外，還需要保持良好的密碼使用習(xí)慣，并定期進(jìn)行更換，提高密碼的安全性。

參考來(lái)源：https://www.bleepingcomputer.com/news/security/lastpass-developer-systems-hacked-to-steal-source-code/