Lastpass — решение для управления паролями, в которое верили тысячи пользователей, внезапно подверглось критике из-за инцидента с безопасностью в прошлом месяце.
Следует отметить серьезный момент: это не первый случай, когда всеобщая вера в Lastpass страдает от проблем с безопасностью. Фактически, у Lastpass есть записи об инцидентах безопасности в 2011, 2015, 2016, 2019, 2021, 2022 годах.
25 августа 2022 года компания Lastpass опубликовала уведомление о том, что злоумышленник имел доступ к ее системам в течение четырех дней в августе 2022 года.
«Мы установили, что неавторизованная сторона получила доступ к частям среды разработки Lastpass через одну скомпрометированную учетную запись разработчика и похитила части исходного кода и некоторую проприетарную техническую информацию Lastpass», — сказал Карим Тубба, генеральный директор Lastpass.
Сообщение в блоге было опубликовано генеральным директором 15 сентября 2022 года. Было сообщено, что Компания продолжает расследование инцидента в партнерстве с фирмой по реагированию на инциденты Mandiant. Результаты расследования показали, что доступ осуществлялся с использованием скомпрометированной конечной точки разработчика.
Было замечено, что многие заинтересованные пользователи задавались вопросом, был ли скомпрометирован их мастер-пароль, на что компания отрицала такую возможность, заявив, что они не хранят и не знают ваш мастер-пароль.
Помимо этого, компания также провела анализ исходного кода для проверки целостности кода, и было обнаружено, что не было доказательств попыток отравления кода или внедрения вредоносного кода.
Чтобы предотвратить подобные инциденты в ближайшем будущем, Lastpass развернула дополнительные возможности анализа угроз, а также усовершенствованные технологии обнаружения и предотвращения как в наших средах разработки, так и в рабочей среде.
Источник изображения: LastPass.com