LastPass, jeden z nejoblíbenějších správců hesel na světě, potvrdil, že byl hacknut… ehm, že došlo k „bezpečnostnímu incidentu“.
Podle serveru The Verge začala společnost minulý týden informovat své uživatele o „nedávném bezpečnostním incidentu“, kdy „neoprávněná osoba“ získala přístup k účtu vývojáře a získala přístup k částem zdrojového kódu správce hesel a „některým vlastním technickým informacím LastPass“.
Společnost uvedla, že došlo k odcizení některých zdrojových kódů, ale že nebyla odcizena žádná hesla.
Ve středu napsala svým uživatelům dopis, ve kterém uvedla: „Před dvěma týdny jsme zjistili neobvyklou aktivitu v některých částech vývojového prostředí LastPass. Po zahájení okamžitého vyšetřování jsme nezaznamenali žádné důkazy o tom, že by tento incident zahrnoval jakýkoli přístup k údajům zákazníků nebo k šifrovaným trezorům hesel.“
Pokračovala: „Zjistili jsme, že neoprávněná osoba získala přístup k částem vývojového prostředí LastPass prostřednictvím jednoho kompromitovaného vývojářského účtu a odnesla si části zdrojového kódu a některé proprietární technické informace LastPass. Naše produkty a služby fungují normálně.“
„V reakci na tento incident jsme zavedli opatření pro omezení šíření a zmírnění následků a zapojili jsme přední firmu zabývající se kybernetickou bezpečností a forenzními službami. Přestože naše vyšetřování pokračuje, dosáhli jsme stavu omezení, zavedli jsme další zvýšená bezpečnostní opatření a nevidíme žádné další důkazy o neoprávněné činnosti,“ uzavírá dopis.
V často kladených otázkách připojených na konci dopisu společnost uvádí, že hesla uživatelů Master nebyla ohrožena: „Tento incident neohrozil vaše hlavní heslo. Vaše hlavní heslo nikdy neukládáme ani o něm nevíme. Používáme standardní architekturu Zero Knowledge, která zajišťuje, že LastPass nikdy nezná hlavní heslo našich zákazníků ani k němu nezíská přístup.“
Společnost také uvedla, že žádná data z trezorů klientů nebyla odcizena, protože k hackerskému útoku došlo ve vývojářském prostředí. V dopise se píše: „K tomuto incidentu došlo v našem vývojovém prostředí. Naše vyšetřování neprokázalo žádný neoprávněný přístup k zašifrovaným datům trezoru. Náš model nulové znalosti zajišťuje, že přístup k dešifrování dat trezoru má pouze zákazník.“
Službu LastPass používá více než 33 milionů klientů po celém světě.
Podle zprávy serveru Verge společnost svým uživatelům vysvětlila, že v reakci na hackerský útok nemusí dělat nic konkrétního. A pokud se zveřejnění z tohoto týdne týkalo pouze jeho rozsahu a v příštích dnech se neobjeví žádné další podrobnosti o narušení, možná se LastPass (a jeho uživatelé) může od incidentu odrazit…
Zdroj: theverge.com