据彭博社报道,全球超过3300万人使用的密码管理工具LastPass表示,一名黑客最近在入侵其系统后窃取了源代码和专有信息。
根据周四的一篇博客文章,LastPass公司认为没有任何密码被盗,用户不需要采取行动来保护他们的账户。
调查确定,一个“未经授权的一方”破解了其开发者环境,也就是员工用来构建和维护LastPass产品的软件。公司表示,入侵者得以通过一个被破坏的开发者账户获得访问权。
LastPass公司代表其用户为多个账户(如Netflix或Gmail)自动生成和存储难以破解的密码,而无需手动输入凭证。LastPass在其网站上列出了巴塔哥尼亚(Patagonia)、Yelp和州立农业保险公司(State Farm)等客户。
网络安全网站Bleeping Computer报告称,它在两周前曾向LastPass询问过这个漏洞。
网络安全公司Recorded Future的计算机安全事件响应小组的分析师艾伦·利斯卡(Allan Liska)说,他对LastPass的“快速通知”感到钦佩。
他说:“虽然两个星期对一些人来说可能是很长的时间,但事件响应团队可能需要一段时间来全面评估和报告情况。需要时间来完全确定由于漏洞造成的任何损害的程度。然而,目前看来,它并没有对客户造成影响。”
LastPass没有立即回应进一步置评的请求。
社交媒体上有人猜测,黑客在窃取源代码和专有信息后,可能能够获得密码库的钥匙。
利斯卡则认为,“被盗的源代码不太可能让犯罪分子获得客户的密码。”