密码管理服务LastPass周四(8/25)坦承,该公司在两周以前于开发环境中侦测到不寻常的活动,调查后发现有未经授权的第三方,通过一个外泄的LastPass开发者账号访问了该环境,并盗走部分的程序代码与私有技术资讯,但并未危及用户资料或是加密的密码库。
根据LastPass的叙述,该公司在发现不寻常的活动之后便立即展开调查,部署封锁与缓解措施,并邀请安全与鉴识企业协助,没有任何证据显示黑客访问了客户资料或加密的密码库;黑客是通过外泄账号进入LastPass开发环境,盗走了该公司部分的源码,以及一些专有的技术资讯,但并未影响LastPass产品或服务。
LastPass强调,该公司采用标准的“零知识”(Zero Knowledge)安全架构,代表除了用户本人之外,没有人能够访问用户的主密码或是存放于密码库中的资料,包括LastPass在内。此外,该意外发生在开发环境,并未波及存放于生产环境中的客户资料,不需要用户执行任何行动。
提供密码管理的LastPass在2015年就曾遭到黑客入侵,当时黑客访问了LastPass用户的电子邮件与密码提醒内容,2017年相继修补了多个浏览器扩展程序漏洞,2019年修补可外泄用户前一个登录网站密码的安全漏洞,去年底也发现有黑客针对LastPass用户发动凭证填充攻击。