去年 8 月,密码管理公司 LastPass 证实公司遭到了黑客攻击,部分源代码和专有技术信息遭窃取。当时用户和企业的数据,以及加密的密码库没有受到影响。
去年 12 月 LastPass 再遭入侵,黑客利用了前一次窃取的信息访问了 LastPass 使用的第三方云存储服务(最初并不清楚这两起事件是否直接相关)。在后续的调查中,LastPass 证实用户的密码等敏感数据发生泄漏。
经过这段时间的调查,LastPass 如今透露,这一系列事件是黑客利用了 DevOps 工程师的家用电脑漏洞,窃取了员工凭证而引发的,这也使得 LastPass 很难及时发现可疑的活动,目前公司已对这名工程师进行了安全教育。
LastPass 的部分公告如下:
这是通过瞄准 DevOps 工程师的家用电脑,利用一个有漏洞的第三方媒体软件包,实现了远程代码执行,之后黑客通过植入键盘记录器等恶意软件最终达成了入侵的目的。黑客能够在该员工输入主密码和 MFA 认证后,获取到其输入的信息,从而进入该 DevOps 工程师的 LastPass 公司密码库。
外媒 ArsTechnica 还从消息来源打听到了家用电脑的具体漏洞,黑客是通过工程师电脑中所安装的 Plex 媒体平台上的一个漏洞进行入侵的,而且就在 LastPass 被攻击的 12 天后,Plex 也证实它遭到了黑客攻击,导致 1500 万用户的密码被盗。
事件发生后,LastPass 采取了一些措施,以防止未来的攻击,同时在 LastPass 的系统中加入了新的多重身份认证,并撤销了由黑客获得的证书。
如果你是 LastPass 的用户,强烈建议你现在立刻修改所有存储在 LastPass 上的密码,同时也应该修改密码库的主密码。LastPass 目前拥有超过 3000 万的用户和超过 10 万个企业客户。