암호 관리 소프트웨어 회사인 LastPass는 소스 코드와 개인 기술 정보를 도용하는 데이터 유출 사고를 겪었습니다.
GoTo(이전 LogMeIn)가 소유한 이 회사는 목요일 게시된 온라인 공지에서 위반 사실을 공개했지만 고객의 마스터 비밀번호나 암호화된 비밀번호 보관소 데이터는 손상되지 않는다고 주장했습니다.
LastPass CEO Karim Tuba는 회사의 보안 팀이 2주 전에 LastPass 개발 환경의 일부에서 비정상적인 활동을 발견하고 소스 코드 도난을 확인하는 조사에 착수했다고 말했습니다.
에서 LastPass 공지:
권한이 없는 당사자가 손상된 단일 개발자 계정을 통해 LastPass 개발 환경의 일부에 액세스하고 약간의 소스 코드와 일부 LastPass 기술 정보를 가져간 것으로 확인되었습니다. 당사의 제품 및 서비스는 정상적으로 작동하고 있습니다.
사고에 대응하여 억제 및 완화 조치를 취했으며 사이버 보안 및 포렌식 분석 분야의 선두 기업과 계약을 맺었습니다. 조사하는 동안 우리는 격리 상태에 도달했고 추가로 강화된 보안 조치를 구현했으며 승인되지 않은 활동의 증거는 더 이상 볼 수 없습니다.
Tuba는 회사가 환경을 개선하기 위해 더 많은 완화 기술을 평가하고 있다고 말했습니다.
[ READ: LastPass Automated Warnings Linked to ‘Credential Stuffing’ Attack ]
가장 중요한 것은 LastPass는 이 사건이 메인 비밀번호 관리자에서 암호화된 볼트에 대한 액세스를 관리하는 마스터 비밀번호에 영향을 미치지 않았다고 주장합니다.
Tuba는 LastPass가 회사가 고객의 마스터 비밀번호를 절대 알거나 액세스할 수 없도록 보장하는 Zero Knowledge 아키텍처를 사용한다고 언급하면서 “우리는 귀하의 마스터 비밀번호를 저장하거나 알고 있지 않습니다.
그는 조사 결과 LastPass 프로덕션 환경에서 암호화된 매장 데이터 또는 고객 데이터에 대한 무단 액세스의 증거가 나타나지 않았다고 말했습니다.
최신 해킹은 발 뒤꿈치에 온다 ‘자격 증명 스터핑’ 공격의 표적이 된 LastPass 사용자 제3자 위반으로 얻은 이메일 주소와 비밀번호를 사용하는
LastPass는 전 세계적으로 3천만 명 이상의 사용자와 85,000명의 비즈니스 고객을 보유하고 있습니다.
관련된: “자격 증명 스터핑” 공격과 관련된 LastPass 자동 경고
관련된: 노출된 LastPass 사용자 비밀번호의 보안 결함
관련된: LastPass 결함은 해커가 암호를 훔칠 수 있습니다
Ryan Narain은 SecurityWeek의 여행 편집자이자 인기 있는 쇼의 진행자입니다. 보안 회담 제품 순서. Ryan은 Intel Corp을 비롯한 주요 글로벌 브랜드를 위한 보안 계약 프로그램을 구축한 베테랑 사이버 보안 전략가입니다. 그리고 Bishop Fox와 Kaspersky GReAT. 그는 Threatpost와 SAS Global Conference Series의 공동 설립자입니다. Ryan은 보안 저널리스트로 이전에 CBS Interactive, PCMag 및 PC World의 Ziff Davis eWEEK 및 ZDNet을 비롯한 주요 기술 출판물에 간단한 기사를 실었습니다. Ryan은 비영리 보안 팅커러스(Security Tinkerers)의 이사이자 초기 단계 기업가의 고문이자 전 세계 보안 컨퍼런스의 정기 연사입니다.
트위터에서 Ryan 팔로우 트윗 퍼가기.
태그:
“트위터를 통해 다양한 주제에 대한 생각을 나누는 아 동율은 정신적으로 깊이 있습니다. 그는 맥주를 사랑하지만, 때로는 그의 무관심함이 돋보입니다. 그러나 그의 음악에 대한 열정은 누구보다도 진실합니다.”