LastPass遭入侵，程式碼被盜

密碼管理服務LastPass周四（8/25）坦承，該公司在兩周以前於開發環境中偵測到不尋常的活動，調查後發現有未經授權的第三方，透過一個外洩的LastPass開發者帳號存取了該環境，並盜走部分的程式碼與私有技術資訊，但並未危及使用者資料或是加密的密碼庫。

根據LastPass的敘述，該公司在察覺不尋常的活動之後便立即展開調查，部署封鎖與緩解措施，並邀請資安與鑑識業者協助，沒有任何證據顯示駭客存取了客戶資料或加密的密碼庫；駭客是透過外洩帳號進入LastPass開發環境，盜走了該公司部分的原始碼，以及一些專有的技術資訊，但並未影響LastPass產品或服務。

LastPass強調，該公司採用標準的「零知識」（Zero Knowledge）安全架構，代表除了使用者本人之外，沒有人能夠存取使用者的主密碼或是存放於密碼庫中的資料，包括LastPass在內。此外，該意外發生在開發環境，並未波及存放於生產環境中的客戶資料，不需要使用者執行任何行動。

提供密碼管理的LastPass在2015年就曾遭到駭客入侵，當時駭客存取了LastPass用戶的電子郵件與密碼提醒內容，2017年相繼修補了多個瀏覽器擴充程式漏洞，2019年修補可外洩用戶前一個登入網站密碼的安全漏洞，去年底亦發現有駭客針對LastPass用戶發動憑證填充攻擊。