Представители менеджера паролей с 25 миллионами пользователей подтверждают взлом. Карим Тубба, генеральный директор LastPass, заявил, что неавторизованная сторона украла «части исходного кода и некоторую проприетарную техническую информацию LastPass». Нечто подобное уже было в 2015 году. В 2017 году в коде нашлась связанная с утечкой паролей серьёзная уязвимость. А в 2019 году была закрыта ошибка, которую сайты могли применять для кражи паролей от учётных записей на других сайтах.
Хакеры взломали сервера разработки, которые используются сотрудниками для создания и поддержки менеджера паролей, чему способствовала компрометация учётной записи разработчика LastPass двухнедельной давности.
Службы реагирования на инциденты локализовали брешь, и LastPass заявляет, что доказательств дальнейшей злонамеренной деятельности нет. Тубба также подтвердил, что не было обнаружено никаких доказательств доступа к каким-либо данным клиентов или зашифрованным хранилищам паролей.
«Благодаря реализованной архитектуре «нулевого разглашения» мастер-пароли никогда не сохраняются. LastPass никогда не сможет узнать или получить доступ к мастер-паролю наших клиентов. Этот инцидент не скомпрометировал ваш мастер-пароль», — заявили в компании.
LastPass предприняла и дополнительные «меры сдерживания и смягчения последствий». Она наняла ведущую фирму по кибербезопасности для расследования происшествия. Для большего спокойствия пользователям рекомендуется включить двухфакторную аутентификацию на тех аккаунтах, где есть такая возможность. О ходе расследования инцидента обещают рассказать дополнительно.