LastPass 源代码泄漏后续来了
去年 8 月,密码管理公司 LastPass 证实公司遭到了黑客攻击,部分源代码和专有技术信息遭窃取。当时用户和企业的数据,以及加密的密码库没有受到影响。 去年 12 月 LastPass 再遭入侵,黑客利用了前一次窃取的信息访问了 LastPass 使用的第三方云存储服务(最初并不清楚这两起事件是否直接相关)。在后续的调查中,LastPass 证实用户的密码等敏感数据发生泄漏。 经过这段时间的调查,LastPass 如今透露,这一系列事件是黑客利用了 DevOps 工程师的家用电脑漏洞,窃取了员工凭证而引发的,这也使得 LastPass 很难及时发现可疑的活动,目前公司已对这名工程师进行了安全教育。 LastPass 的部分公告如下: 这是通过瞄准 DevOps 工程师的家用电脑,利用一个有漏洞的第三方媒体软件包,实现了远程代码执行,之后黑客通过植入键盘记录器等恶意软件最终达成了入侵的目的。黑客能够在该员工输入主密码和 MFA 认证后,获取到其输入的信息,从而进入该 DevOps 工程师的 LastPass 公司密码库。 外媒 ArsTechnica 还从消息来源打听到了家用电脑的具...
