Раскрыты детали очередного взлома LastPass

raskryty-detali-ocherednogo-vzloma-lastpass-thumb Новости

В августе печально известная многим компания LastPass сообщила об очередном взломе систем безопасности. На тот момент команда облачного сервиса не раскрыла подробности инцидента. Однако после затяжного расследования наконец прервала молчание и рассказала подробнее о масштабах случившегося.

Со слов генерального директора LastPass Карима Туббы данные пользователей не были затронуты в данном инциденте. Хакеры получили доступ к сети через скомпрометированную рабочую станцию одного из разработчиков, и находились в ней на протяжении четырех дней, прежде чем их обнаружили. За это время они успели скачать с серверов «проприетарную техническую информацию» и выкрасть части исходного кода сервиса.

Как отмечается в анонсе, худшего сценария удалось избежать благодаря дизайну внутренних систем компании:

Несмотря на то, что злоумышленникам удалось получить доступ к среде разработки, внутренний дизайн нашей системы и элементы её управления не позволили им добраться до пользовательских данных и зашифрованных хранилищ.

LastPass в своём блоге

Всё это стало возможным сразу по трём причинам. Во-первых, среда разработки LastPass была физически отделена от производственной. Во-вторых, среда разработки не содержит каких-либо данных клиентов. В-третьих, LastPass не имеет доступа к мастер-паролям хранилищ, который знает только сам владелец этого хранилища.

В ходе дальнейшей проверки компания также подтвердила, что у хакеров не осталось возможных бэкдоров, а в ходе анализа сходного кода не были выявлены какие-либо изменения, которые могли бы навредить безопасности конечного пользователя.

Карим Тубба заверил, что после случившегося в компании будет усилен контроль за рабочими станциями разработчиков, а также усилены системы защиты для предотвращения подобных взломов в дальнейшем.

Верить LastPass или нет — дело конкретно каждого. Но если прошлые подобные прецеденты не напугали вас, сейчас самое время заменить этот продукт на что-то более надёжное.

HomeHosted
Добавить комментарий

Нажимая на кнопку «Отправить комментарий», я даю согласие на обработку персональных данных и принимаю политику конфиденциальности.

HomeHosted