密码管理公司 LastPass 两周前遭到黑客攻击,攻击者得以窃取该公司的源代码和专有技术信息。据称,在 LastPass 被攻破后,员工正争先恐后地遏制攻击。
LastPass 发布了一份安全公告,确认该公司是通过一个被泄露的开发人员账户被入侵的,黑客曾使用该账户访问该公司的开发人员环境。
虽然 LastPass 表示没有证据表明客户数据或加密密码库受到损害,但攻击者确实窃取了他们的部分源代码和“LastPass专有技术信息”。
“为应对这一事件,我们部署了遏制和缓解措施,并聘请了一家领先的网络安全和取证公司,” LastPass 顾问解释称。
“虽然我们的调查正在进行中,但我们已经遏制了攻击,实施额外的强化安全措施,并且没有看到进一步的未经授权活动的证据。”
LastPass 没有提供有关此次攻击、攻击者如何入侵开发者帐户以及哪些源代码被盗的更多详细信息。
LastPass 是世界上最大的密码管理公司之一,据称有超过3300万人和10万家企业在使用它。
随着消费者和企业使用该公司的软件安全地存储密码,人们一直担心,如果该公司被黑客攻击,可能会让有威胁的行为者访问存储的密码。
但LastPass 将密码存储在“加密保险库”中,只能使用客户的主密码进行解密,LastPass 称该密码在此次网络攻击中并未受到破坏。
去年, LastPass 遭受了撞库攻击,攻击者可以确认用户的主密码。据透露,LastPass 主密码被分发 RedLine 密码窃取恶意软件的威胁行为者窃取。
因此启用多因素身份验证至关重要,这样即使密码被泄露,威胁者也无法访问您的帐户。
帐户信息泄露是攻击者进入企业网络的便捷途径,除此以外,安全漏洞同样为攻击者入侵打开大门。随着应用软件的大规模使用及广泛渗透,一些机构也积累了海量客户行为数据及交易数据,但因其信息系统管理水平和应对网络攻击能力未能同步跟上,其数据安全保卫能力存在不足,软件安全状态未知,存在数据被集中泄露的风险。
数据显示,超过六成的应用安全漏洞与代码有关,而在编码阶段利用静态代码分析技术可以帮助用户减少30-70%的安全漏洞。随着网络攻击的激增,企业在软件开发时不断检测并修复代码缺陷,是提高软件安全减少数据丢失的重要手段。
来源: