LastPass ถูกแฮ็ก แต่แจ้งว่าไม่มีข้อมูลผู้ใช้ถูกบุกรุก

ในเดือนสิงหาคม LastPass ยอมรับ ว่า “บุคคลที่ไม่ได้รับอนุญาต” ได้เข้าสู่ระบบของตน ข่าวใดๆ เกี่ยวกับผู้จัดการรหัสผ่านที่ถูกแฮ็กอาจเป็นเรื่องน่าตกใจ แต่ขณะนี้บริษัทกำลังให้ความมั่นใจแก่ผู้ใช้ว่าการเข้าสู่ระบบและข้อมูลอื่น ๆ ของพวกเขาจะไม่ถูกบุกรุกในเหตุการณ์

ในการ อัปเดตล่าสุด ของเขาเกี่ยวกับเหตุการณ์ที่เกิดขึ้น Karim Toubba CEO ของ LastPass กล่าวว่าการสอบสวนของบริษัทกับบริษัทรักษาความปลอดภัยทางไซเบอร์ Mandiant ได้เปิดเผยว่าผู้กระทำความผิดมีการเข้าถึงระบบภายในเป็นเวลาสี่วัน พวกเขาสามารถขโมยซอร์สโค้ดและข้อมูลทางเทคนิคของตัวจัดการรหัสผ่านบางส่วนได้ แต่การเข้าถึงถูกจำกัดเฉพาะสภาพแวดล้อมการพัฒนาของบริการที่ไม่เชื่อมต่อกับข้อมูลของลูกค้าและห้องนิรภัยที่เข้ารหัส นอกจากนี้ Toubba ชี้ให้เห็นว่า LastPass ไม่สามารถเข้าถึงรหัสผ่านหลักของผู้ใช้ ซึ่งจำเป็นสำหรับการถอดรหัสห้องนิรภัยของพวกเขา

CEO กล่าวว่าไม่มีหลักฐานว่าเหตุการณ์นี้ “เกี่ยวข้องกับการเข้าถึงข้อมูลลูกค้าหรือห้องนิรภัยรหัสผ่านที่เข้ารหัส” พวกเขายังไม่พบหลักฐานของการเข้าถึงโดยไม่ได้รับอนุญาตนอกเหนือจากสี่วันนั้นและร่องรอยใด ๆ ที่แฮ็กเกอร์ใส่รหัสที่เป็นอันตรายลงในระบบ Toubba อธิบายว่าตัวร้ายสามารถแทรกซึมระบบของบริการได้โดยการประนีประนอมจุดสิ้นสุดของนักพัฒนา แฮ็กเกอร์จึงปลอมตัวเป็นนักพัฒนา “เมื่อนักพัฒนาตรวจสอบสิทธิ์โดยใช้การตรวจสอบสิทธิ์แบบหลายปัจจัยได้สำเร็จ”

ย้อนกลับไปในปี 2015 LastPass ประสบกับการละเมิดความปลอดภัย ที่ทำให้ที่อยู่อีเมลของผู้ใช้ แฮชการตรวจสอบสิทธิ์ ตัวเตือนรหัสผ่าน และข้อมูลอื่นๆ รั่วไหล การละเมิดที่คล้ายกันจะสร้างความหายนะมากขึ้นในวันนี้ เนื่องจากบริการดังกล่าวมีลูกค้าที่ลงทะเบียนแล้วกว่า 33 ล้านราย แม้ว่า LastPass จะไม่ขอให้ผู้ใช้ดำเนินการใดๆ เพื่อรักษาข้อมูลของตนให้ปลอดภัย แต่ก็เป็นแนวปฏิบัติที่ดีเสมอที่จะไม่ใช้รหัสผ่านซ้ำและเปิดการตรวจสอบสิทธิ์แบบหลายปัจจัย

ใส่ความเห็น

อีเมลของคุณจะไม่แสดงให้คนอื่นเห็น