初步结论是这次事故与今年八月的安全事故有关联。在今年 8 月黑客通过一个入侵的开发者账号获得了对部分开发环境的访问权限,窃取了部分源代码和私有技术信息。LastPass 称正在判断最新事故的影响范围,它表示客户的密码仍然是安全的,它利用了行业标准的 Zero Knowledge 零知识架构确保它也不知道客户的主密码。
截至 2022 年 11 月 30 日星期三的更新
致所有 LastPass 客户,
为了遵守我们对透明度的承诺,我想通知您我们的团队目前正在调查的一起安全事件。
我们最近在第三方云存储服务中检测到异常活动,该服务目前由 LastPass 及其关联公司GoTo共享。我们立即展开调查,聘请了一家领先的安全公司 Mandiant,并通知了执法部门。
我们已经确定,未经授权的一方使用在 2022 年 8 月事件中获得的信息,能够访问我们客户信息的某些元素。由于 LastPass 的零知识架构,我们客户的密码保持安全加密。
我们正在努力了解事件的范围并确定访问了哪些具体信息。与此同时,我们可以确认 LastPass 产品和服务仍能正常运行。一如既往,我们建议您遵循我们有关 LastPass 设置和配置的最佳实践,可在此处找到。
作为我们努力的一部分,我们继续在我们的基础设施中部署增强的安全措施和监控功能,以帮助检测和防止进一步的威胁行为者活动。
感谢您在我们进行调查期间的耐心等待。按照我们的惯例,我们将在了解更多信息后继续提供更新。
卡里姆图巴
LastPass 首席执行官
截至 2022 年 9 月 15 日星期四的更新
致所有 LastPass 客户,
2022年 8 月 25日,我们通知您有关仅限于 LastPass 开发环境的安全事件,我们的一些源代码和技术信息在该环境中被盗。我想向您通报我们调查的最新结论,以便为我们的消费者和商业社区提供透明度和安心感。
我们与 Mandiant 合作完成了调查和取证过程。我们的调查显示,威胁行为者的活动仅限于 2022 年 8 月的四天。在此期间,LastPass 安全团队检测到威胁行为者的活动,然后控制了事件。 没有证据表明任何威胁行为者的活动超出既定时间表。我们还可以确认,没有证据表明此事件涉及对客户数据或加密密码库的任何访问。
我们的调查确定威胁参与者使用开发人员的受损端点获得了对开发环境的访问权限。虽然用于初始端点危害的方法尚无定论,但一旦开发人员 使用多因素身份验证成功进行身份验证 ,威胁参与者就会利用他们的持久访问权限来冒充开发 人员。
尽管威胁行为者能够访问开发环境,但我们的系统设计和控制阻止了威胁行为者访问任何客户数据或加密密码库。
首先,LastPass 开发环境与我们的生产环境在物理上是分开的,并且没有直接连接。其次,开发环境不包含任何客户数据或加密保险库。第三,LastPass 无法访问我们客户保险库的主密码——没有主密码,作为我们零知识安全模型的一部分,除了保险库所有者之外的任何人都不可能解密保险库数据。
为了验证代码完整性,我们对源代码和生产构建进行了分析,并确认我们没有看到任何代码中毒或恶意代码注入尝试的证据。开发人员无法将 源代码从开发环境推送到生产环境。此功能仅限于单独的构建发布团队,并且只能在完成严格的代码审查、测试和验证过程后才能实现。
作为我们风险管理计划的一部分,我们还与一家领先的网络安全公司合作,进一步加强我们现有的源代码安全实践,其中包括安全软件开发生命周期流程、威胁建模、漏洞管理和漏洞赏金计划。
此外,我们还部署了增强的安全控制,包括额外的端点安全控制和监控。我们还在开发和生产环境中部署了额外的威胁情报功能以及增强的检测和预防技术。
我们认识到任何类型的安全事件都令人不安,但想向您保证,您的个人数据和密码在我们的管理下是安全的。
感谢您一直以来的信任和支持。
卡里姆图巴
LastPass 首席执行官
2022 年 8 月 25 日的原始帖子
致所有 LastPass 客户,
我想告知您一项我们认为对我们与 LastPass 业务和消费者社区分享很重要的进展。
两周前,我们在 LastPass 开发环境的某些部分检测到一些异常活动。在立即展开调查后,我们没有看到任何证据表明此事件涉及对客户数据或加密密码库的任何访问。
我们已经确定,未经授权的一方通过一个受损的开发者帐户获得了部分 LastPass 开发环境的访问权限,并获取了部分源代码和一些专有的 LastPass 技术信息。我们的产品和服务正常运行。
为应对这一事件,我们部署了遏制和缓解措施,并聘请了一家领先的网络安全和取证公司。在我们进行调查的同时,我们已经达到了遏制状态,实施了额外的增强安全措施,并且没有看到任何未经授权活动的进一步证据。
根据我们所了解和实施的内容,我们正在评估进一步的缓解技术以加强我们的环境。我们在下面包含了一个简短的常见问题解答,其中包含我们预计您最初会提出的最紧迫的问题和疑虑。我们将继续以您应得的透明度为您更新。
感谢您的耐心、理解和支持。
卡里姆图巴
LastPass 首席执行官
常见问题
1. 我的主密码或我用户的主密码是否被泄露?
不会。此事件并未危及您的主密码。我们从不存储或知道您的主密码。我们采用行业标准的零知识架构,确保 LastPass 永远不会知道或访问我们客户的主密码。您可以在此处阅读有关零知识技术实施的信息。
2. 我的保管库或我用户的保管库中是否有任何数据被泄露?
没有。这个事件发生在我们的开发环境中。我们的调查没有显示任何未经授权访问加密保险库数据的证据。我们的零知识模型确保只有客户有权解密金库数据。
3. 我的个人信息或我的用户的个人信息是否被泄露?
没有。我们的调查没有显示任何证据表明在我们的生产环境中有任何未经授权访问客户数据的行为。
4. 我应该如何保护自己和我的保险库数据?
目前,我们不建议代表我们的用户或管理员采取任何行动。与往常一样,我们建议您遵循我们有关 LastPass 设置和配置的最佳实践,可在此处找到。
5. 我怎样才能获得更多信息?
我们将继续以他们应得的透明度向我们的客户更新。
