阅读原文:CSA云计算安全安全技术要求
密码管理器 LastPass 已告知客户,他们的一些信息已因网络安全漏洞而被访问,但表示密码仍然安全。
LastPass 是市场上的几个密码管理器之一,旨在通过将密码存储在单个应用程序中来减少在线密码的重复使用。它还使用户更容易根据需要生成强密码。
8 月,LastPass 确定其部分源代码和技术信息来自对该公司一直使用的第三方存储服务的未授权访问。
该公司表示,经过调查,虽然威胁行为者能够访问公司的开发环境,但系统阻止了对客户数据或加密密码的访问。
当时 LastPass 表示,攻击者获取了部分源代码和一些专有的 LastPass 技术信息,但认为该应用程序的风险有限。
LastPass 表示,其生产环境与开发环境在物理上是分开的,没有直接连接。该公司还对其源代码和生产版本进行了分析,以验证没有试图注入恶意代码。
“开发人员没有能力将源代码从开发环境推入生产环境,”该公司当时表示。
“这种能力仅限于一个单独的构建发布团队,并且只能在完成严格的代码审查、测试和验证过程后才能实现。”
然而,周三,该公司首席执行官卡里姆·图巴 (Karim Toubba) 告知客户,“未经授权的一方”使用从先前攻击中收集的信息,随后能够访问“我们客户信息的某些元素”。
LastPass 没有具体说明这些信息是什么,但表示密码仍然安全加密。LastPass 也无法访问客户的主密码,这意味着只有用户才能解密他们存储的密码。
“我们正在努力了解事件的范围,并确定访问了哪些具体信息,”图巴说。
“与此同时,我们可以确认 LastPass 产品和服务仍能正常运行。”
Toubba 表示,该公司将采取更多的安全措施和监控,以检测更多的威胁行为者活动。
原文始发于微信公众号(河南等级保护测评):密码应用程序 LastPass 遭遇网络安全漏洞,但表示数据仍然安全
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论