Разработчикът на LastPass е хакнат, за да открадне изходния код

Мениджърът на пароли LastPass беше хакнат преди две седмици, което позволи на участниците в заплахата да откраднат изходния код на компанията и частната техническа информация.

Разкритието идва, след като BleepingComputer научи за пробива от вътрешни лица миналата седмица и се свърза с компанията на 21 август, без да отговори на нашите въпроси.

Източници казаха на BleepingComputer, че служителите се борят да овладеят атаката след хакването на LastPass.

След изпращане на въпроси относно атаката, LastPass публикува днес съвет за сигурност, потвърждаващ, че е хакнат чрез компрометиран акаунт на разработчици, който хакерите са използвали, за да получат достъп до средата за разработчици на компанията.

Въпреки че LastPass казва, че няма доказателства, че клиентските данни или криптираните хранилища за пароли са били компрометирани, нападателите са откраднали части от техния изходен код и „техническа информация на LastPass“.

„В отговор на инцидента сме разположили мерки за ограничаване и смекчаване и сме ангажирали водеща компания в областта на киберсигурността и криминалистиката“, обяснява той. Консултант на LastPass.

„Докато нашето разследване продължава, ние постигнахме ограничаване, въведохме допълнителни засилени мерки за сигурност и не виждаме повече доказателства за неразрешена дейност.“

LastPass не предостави повече подробности относно атаката, как нападателите са компрометирали акаунта на разработчика и какъв изходен код е бил откраднат.

Пълният съвет за сигурност, изпратен по имейл до клиентите на LastPass, може да бъде прочетен по-долу.

LastPass е един от най-големите мениджъри на пароли в света, който твърди, че се използва от повече от 33 милиона души и 100 000 фирми.

Тъй като потребителите и фирмите използват фирмен софтуер за сигурно съхраняване на своите пароли, винаги има опасения, че ако дадена компания бъде хакната, това може да позволи на заплахите да получат достъп до съхранените пароли.

LastPass обаче съхранява пароли в „криптирани трезори“, които могат да бъдат декриптирани само с помощта на главната парола на клиента, която според LastPass не е била компрометирана при тази кибератака.

миналата година, LastPass претърпя атака с пълнене на идентификационни данни Това позволи на заплахите да потвърдят главната парола на потребителя. Кражба на главните пароли на LastPass също е открита от заплахи, разпространяващи злонамерен софтуер за кражба на пароли RedLine.

В резултат на това е необходимо да активирате многофакторно удостоверяване на вашите акаунти в LastPass, така че нападателите да не могат да получат достъп до вашия акаунт, дори ако паролата ви е компрометирана.

Компютърът се свърза отново с още въпроси за атаката.

Това е една развиваща се история.