據(jù)Bleeping Computer報道，密碼管理巨頭 LastPass 兩周前遭到黑客攻擊，盡管公司在發(fā)現(xiàn)攻擊行為后已經(jīng)拼命進行阻止，但是結(jié)果令人感到惋惜，黑客依舊突破了封鎖，可竊取該公司的源代碼和專有技術(shù)信息。

8月25日，在發(fā)送有關(guān)此次攻擊的問題后，LastPass 發(fā)布了一份安全公告，確認黑客是通過訪問公司開發(fā)人員的賬戶進行入侵，并對開發(fā)環(huán)境進行破壞。

在發(fā)布的安全報告中，LastPass表示目前沒有任何證據(jù)表明客戶數(shù)據(jù)或加密的密碼庫遭到破壞，但承認攻擊者確實竊取了部分“源代碼”和“LastPass 專有的技術(shù)信息”。

攻擊事件發(fā)生后，LastPass對外稱已經(jīng)聘請了一家領(lǐng)先的網(wǎng)絡(luò)安全和取證公司進行處理，盡可能部署遏制和緩解措施，降低該事件帶來的影響?！半m然該事件的調(diào)查還在持續(xù)進行，但是我們已經(jīng)有效遏制了此次攻擊，實施了額外的強化安全措施，并且沒有看到任何未經(jīng)授權(quán)的活動的進一步證據(jù)?！?/p>

LastPass向客戶發(fā)送了電子郵件告知此次攻擊事件，至于和此次攻擊的詳細過程，以及攻擊者如何入侵開發(fā)者帳戶，哪些源代碼和專有技術(shù)信息被盜等相關(guān)信息，LastPass 并沒有對外提供。

LastPass 安全咨詢通過電子郵件發(fā)送給客戶

資料顯示，LastPass 是世界上最大的密碼管理公司之一，對外宣稱有超過3300萬人和10萬家企業(yè)正在使用其產(chǎn)品。

由于消費者和企業(yè)使用該公司的軟件來安全地存儲他們的密碼，因此不少用戶對于此次攻擊事件的衍生后果表示非常擔憂，如果黑客獲取了相應(yīng)的權(quán)限，那么很有可能被允許訪問用戶存儲的密碼信息。

對此，LastPass表示公司將密碼存儲在“加密保險庫”中，只能使用客戶的主密碼進行解密，在此次攻擊中并未收到任何破壞。

但是該聲明并未打消用戶的全部疑慮，因為在2021年，LastPass曾遭受撞庫攻擊，并且攻擊者可以確認用戶的主密碼。更糟糕的是，這些主密碼被使用RedLine 密碼竊取惡意軟件的攻擊者竊取。

換句話說，用戶不可因為信任LastPass 而完全放松警惕，主密碼也有可能在網(wǎng)絡(luò)攻擊中泄露，所以在LastPass 帳戶上啟用多因素身份驗證是一件非常有必要的措施。此外，還需要保持良好的密碼使用習慣，并定期進行更換，提高密碼的安全性。

參考來源：https://www.bleepingcomputer.com/news/security/lastpass-developer-systems-hacked-to-steal-source-code/