Хакеры крадут части исходного кода LastPass, но не паникуйте, говорит компания

хакеры украли новости исходного кода lastpass
Менеджер паролей LastPass опубликовал сообщение в блоге, уведомляющее пользователей о недавней утечке данных . По словам генерального директора Карима Туббы, утечка затронула часть среды разработки компании, но не затронула базы данных, содержащие пользовательские данные или пароли. Похоже, что вместо того, чтобы украсть информацию о пользователе, злоумышленник, стоящий за этим взломом, украл части исходного кода LastPass, а также некоторую проприетарную техническую информацию. Нам нужно будет посмотреть, выйдет ли вор, чтобы опубликовать эту украденную информацию, либо для продажи, либо в рамках схемы вымогательства.

LastPass идентифицирует одну скомпрометированную учетную запись разработчика как источник взлома. Однако компания не раскрывает, как злоумышленник получил несанкционированный доступ к этой учетной записи. LastPass стало известно о взломе после обнаружения необычной активности в среде разработки две недели назад, после чего компания немедленно начала расследование. LastPass еще не завершил свое расследование, но не нашел доказательств какого-либо несанкционированного доступа, выходящего за рамки первоначального нарушения.

LastPass отреагировал на этот инцидент, повысив свою безопасность, используя это нарушение как возможность учиться. Компания использует информацию, полученную в ходе расследования, для оценки состояния своих методов обеспечения безопасности и рассмотрения возможных дальнейших мер. В нынешнем виде, даже если злоумышленник получил доступ к хранилищам паролей пользователей, пароли пользователей останутся защищенными, поскольку LastPass хранит пароли пользователей с шифрованием с нулевым разглашением. Даже авторизованные сотрудники LastPass не могли получить доступ к паролям пользователей, если бы захотели. То же самое касается мастер-паролей пользователей.

Мастер-пароли некоторых пользователей LastPass были скомпрометированы совсем недавно, в декабре прошлого года. Однако оказалось, что в этой атаке не было утечки данных. Вместо этого злоумышленник провел атаку с подменой учетных данных против некоторых пользователей LastPass. Атака с заполнением учетных данных берет учетные данные для входа, скомпрометированные в результате других нарушений данных, и подключает их к другой службе в надежде, что некоторые пользователи повторно использовали одно и то же имя пользователя и пароль. Как выяснилось, некоторые пользователи LastPass повторно использовали ранее скомпрометированные учетные данные для входа, и злоумышленник смог получить доступ к этим учетным записям. Эта атака с заполнением учетных данных является предупреждением против повторного использования паролей , особенно когда речь идет о мастер-пароле менеджера паролей.

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал