由于公司的“零知识”架构,用户的主密码是安全的
在未经授权的一方获得了对公司内部网络的访问权后,LastPass已向用户提醒用户发生安全事件。
在一份声明Last Pass首席执行官Karim Toubba于昨天(8月25日)发行,他说,在软件公司生产环境的部分中发现了“异常活动”。
随后的调查表明,攻击者通过受损的开发人员帐户获得了访问权限,并“获取了部分源代码和一些专有的LastPass技术信息”。
LastPass很快注意到,由于公司的“零知识”架构,用户的主密码并未被妥协作为此攻击的一部分。
“我们的调查没有显示任何未经授权访问的证据加密保管数据,”公司补充说。“我们的零知识模型可确保只有客户才能访问解密保管数据。”
缓解措施
为了应对这一事件,LastPass表示已采取了“遏制和缓解”措施,并参与了网络安全和取证公司。
“尽管我们的调查正在进行中,但我们已经达到了一种遏制状态,采取了额外的增强安全措施,并且没有进一步的未经授权活动的证据。”
“目前,我们不建议代表用户或管理员采取任何行动。”
