LastPass został zhakowany, ale dane użytkownika nie zostały naruszone
LastPass wciąż zgłasza sierpniowe włamanie. Żadne dane użytkownika nie zostały naruszone, ale nadal zaleca się ostrożność.
LastPass przyznał w sierpniu, że „osoba nieupoważniona” była w stanie zinfiltrować jego systemy. Informacje tego rodzaju pochodzące od zhakowanego menedżera haseł są niepokojące, ale dziś firma chce zapewnić swoich użytkowników, że ich identyfikatory i inne dane osobowe nie zostały naruszone podczas tego incydentu .
LastPass wciąż zgłasza włamanie w sierpniu
W swoim najnowszym poście na temat tego włamania, dyrektor generalny LastPass, Karim Tubba, wyjaśnił, że dochodzenie firmy wraz z firmą zajmującą się cyberbezpieczeństwem Mandiant wykazało, że atakujący miał wewnętrzny dostęp do swoich systemów przez cztery dni. Ten ostatni był w stanie ukraść kod źródłowy menedżera haseł i informacje techniczne, ale jego dostęp był ograniczony do środowiska programistycznego usługi, które nie jest powiązane z danymi użytkownika ani zaszyfrowanymi skarbcami. Ponadto Karim Tubba wyjaśnił, że LastPass nie ma żadnego dostępu do haseł głównych użytkowników, które są wymagane do odszyfrowania skarbców.
Dane użytkownika nie zostały naruszone
Dyrektor generalny wyjaśnił również, że nie ma dowodów na to, że ten incydent „jest związany z jakimkolwiek dostępem do danych osobowych lub zaszyfrowanych skarbców haseł”. w systemy. Karim Tubba twierdzi, że osoba atakująca była w stanie zinfiltrować systemy systemowe, włamując się do systemu programisty. Haker mógł następnie podszyć się pod tego ostatniego „po pomyślnym uwierzytelnieniu za pomocą uwierzytelniania dwuskładnikowego”.
Ale ostrożność jest zawsze wskazana
LastPass doświadczył naruszenia bezpieczeństwa w 2015 r., które naraziło na szwank adresy e-mail, skróty identyfikatorów użytkowników, przypomnienia haseł i inne informacje o użytkownikach. Taka wada byłaby katastrofą dzisiaj, gdy serwis ma ponad 33 miliony zarejestrowanych klientów. Chociaż LastPass nie zaleca swoim użytkownikom podejmowania żadnych konkretnych działań, zawsze dobrze jest nie używać ponownie haseł i włączyć uwierzytelnianie dwuskładnikowe.
Dodaj komentarz