LastPass сообщил о взломе и краже части исходного кода

2022-08-26 2154 комментарии
В официальном блоге компании LastPass, разработчика популярного менеджера паролей, появилась информация об инциденте безопасности, который привел к утечке конфиденциальных технических данных

Согласно публикации, две недели назад разработчик менеджера паролей LastPass обнаружил «подозрительную активность» в среде разработки своих продуктов. После проведения расследования было установлено, что «неуполномоченные лица» получили доступ к определенным разделам среды разработки через скомпрометированную учетную запись разработчика.

Злоумышленникам удалось заполучить «фрагменты исходного кода и некоторую проприетарную техническую информацию LastPass». Компания заявляет, что продукты и сервисы не затронуты, и пользовательские данные не подвергаются опасности.

Для расследования взлома LastPass привлекла «ведущую компанию в области кибербезопасности и компьютерной криминалистики». Также были незамедлительно приняты меры по сдерживанию и смягчению последствий атаки. LastPass заявляет, что проблема была локализована и были приняты дополнительные меры безопасности. Компания не нашла доказательств дальнейшей несанкционированной активности в среде разработки или где-либо еще в своей инфраструктуре.

В разделе ответов на вопросы LastPass отмечает, что пользовательские данные не были скомпрометированы. По словам компании, модель безопасности «с нулевым разглашением» гарантирует безопасность мастер-паролей. LastPass рекомендует пользователям следовать передовым методам дополнительной защиты, в том числе использовать собственное приложение для многофакторной аутентификации LastPass Authenticator. Приложение добавляет второй уровень аутентификации в процесс проверки входа.

Данный августовский инцидент оказался не первым в истории компании. Еще один взлом произошел в 2015 году. Тогда злоумышленникам удалось украсть пользовательские данные, включая адреса электронной почты, напоминания паролей, хэши аутентификации и другие сведения.

В 2021 году LastPass объявила, что станет независимой компанией. Анонсированные изменения в бесплатной версии LastPass привели к массовому оттоку пользователей в пользу других бесплатных решений для управления паролями, включая Bitwarden и KeePass.

Дополнительная информация об инциденте безопасности не раскрывается. Неизвестно, могут ли киберпреступники использовать загруженные данные для разработки дальнейших атак против компании и ее пользователей?

В общем случае, пользователям менеджеров паролей рекомендуется следовать передовым методам защиты своих учетных записей. Один из лучших вариантов защиты включает реализацию двухфакторной аутентификации. В зависимости от конкретного продукта могут быть доступны и другие возможности, в том числе разделение баз паролей.

Пользователям не о чем беспокоиться

Похоже, что утечка в среде разработки LastPass, произошедшая в августе 2022 года имела ограниченный масштаб. Согласно заявлению, пользовательские данные и основные сервисы не были взломаны.

А вы используете менеджер паролей?

© .

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?