黑客攻擊密碼管理巨頭LastPass，竊取部分源代碼

據外媒網站報道，兩周前黑客攻擊了密碼管理巨頭LastPass，并且竊取了該公司的部分源代碼和專有技術信息。攻擊事件發生后，LastPass聘請了網絡安全和取證公司進行處理，采取了相應的緩解措施，降低事件帶來的影響。

LastPass發布安全公告

2022年8月25日，LastPass就此次攻擊問題，發布了一份安全公告。目前，已經確認黑客通過訪問公司開發人員的賬戶進行入侵，并對開發環境進行破壞。LastPass在安全公告中表示，沒有任何證據表明客戶數據或加密的密碼庫遭到破壞，但承認部分源代碼和LastPass 專有的技術信息已經被攻擊者竊取。

采取的安全措施

發現被攻擊之后，LastPass聘請了一家領先的網絡安全和取證公司進行處理，盡可能部署遏制和緩解措施，已降低該事件帶來的影響。此次攻擊事件還在持續調查中，LastPass表示已經有效遏制了此次攻擊，并且實施額外的強化安全措施。目前，沒有看到任何未經授權的活動的進一步證據。

LastPass通過電子郵件告知客戶此次攻擊事件，但是LastPass沒有對外提供攻擊的詳細過程、攻擊者如何入侵開發者賬戶、哪些源代碼和專有信息技術被盜等相關信息。

關于LastPass 

LastPass是世界上最大的密碼管理公司之一，有超過3300萬人和10萬家企業正在使用其產品。由于很多消費者和企業使用LastPass的軟件來存儲他們的密碼，因此很多用戶擔心此次攻擊事件會對他們造成嚴重影響。如何黑客獲得了相應的權限，那么用戶存儲的密碼信息很可能會被允許訪問。

對于這些擔心和疑慮，LastPass方面表示，公司將密碼存儲在“加密保險庫”中，只能使用客戶的主密碼進行解密。因此，在此次攻擊事件中，用戶存儲的密碼未受到任何破壞。

然而，這些聲明并不能夠打消用戶的疑慮。因為在2021年，LastPass曾遭受撞庫攻擊，并且攻擊者可以確認用戶的主密碼。更糟糕的是，這些主密碼被使用RedLine 密碼竊取惡意軟件的攻擊者竊取。

由此可見，用戶不會完全信任LastPass，因為在網絡攻擊中主密碼也有可能會泄露。因此，在LastPass 帳戶上啟用多因素身份驗證是很有必要的。此外，用戶還應保持良好的密碼使用習慣，比如：提高密碼的安全性，使用高強度密碼，定期更換密碼等。