密碼管理服務LastPass周四(8/25)坦承,該公司在兩周以前於開發環境中偵測到不尋常的活動,調查後發現有未經授權的第三方,透過一個外洩的LastPass開發者帳號存取了該環境,並盜走部分的程式碼與私有技術資訊,但並未危及使用者資料或是加密的密碼庫。

根據LastPass的敘述,該公司在察覺不尋常的活動之後便立即展開調查,部署封鎖與緩解措施,並邀請資安與鑑識業者協助,沒有任何證據顯示駭客存取了客戶資料或加密的密碼庫;駭客是透過外洩帳號進入LastPass開發環境,盜走了該公司部分的原始碼,以及一些專有的技術資訊,但並未影響LastPass產品或服務。

LastPass強調,該公司採用標準的「零知識」(Zero Knowledge)安全架構,代表除了使用者本人之外,沒有人能夠存取使用者的主密碼或是存放於密碼庫中的資料,包括LastPass在內。此外,該意外發生在開發環境,並未波及存放於生產環境中的客戶資料,不需要使用者執行任何行動。

提供密碼管理的LastPass在2015年就曾遭到駭客入侵,當時駭客存取了LastPass用戶的電子郵件與密碼提醒內容,2017年相繼修補了多個瀏覽器擴充程式漏洞,2019年修補可外洩用戶前一個登入網站密碼的安全漏洞,去年底亦發現有駭客針對LastPass用戶發動憑證填充攻擊。

熱門新聞

Advertisement