LastPass 稱員工家用電腦被黑企業密碼庫令牌被盜

提供密碼管理服務的 LastPass 更新了去年發生的嚴重安全事故的最新調查結果：它的一名高級工程師的家用電腦遭到黑客入侵，而這名員工擁有企業密碼庫的訪問權限。LastPass 稱，8 月 12 日到 26 日之間，未知黑客竊取到了一名高級 DevOps 工程師的有效憑證。黑客利用了第三方媒體軟件包的漏洞入侵了該工程師的家用電腦，植入了按鍵記錄器，竊取到主密碼。該工程師是 LastPass 四名能訪問企業密碼庫的工程師之一。在進入企業密碼庫之后，黑客導出了所有條目，其中包括 AWS S3 LastPass 產品備份的密鑰。匿名消息來源透露，黑客利用的媒體軟件是 Plex，而 Plex 在去年 8 月 24 日披露遭到了入侵，但暫時還不知道兩起安全事故是否存在關聯。