در ماه اوت، LastPass اعتراف کرده بود که یک “حزب غیرمجاز” وارد سیستم آن شده است. هر خبری در مورد هک شدن یک مدیر رمز عبور می تواند نگران کننده باشد، اما این شرکت اکنون به کاربران خود اطمینان می دهد که ورود و سایر اطلاعات آنها در این رویداد به خطر نیفتاده است.
کریم توبا، مدیرعامل LastPass در آخرین بهروزرسانی خود درباره این حادثه گفت که تحقیقات این شرکت با شرکت امنیت سایبری Mandiant نشان داده است که بازیگر بد به مدت چهار روز به سیستمهای آن دسترسی داخلی داشته است. آنها توانستند برخی از کد منبع و اطلاعات فنی مدیر رمز عبور را به سرقت ببرند، اما دسترسی آنها به محیط توسعه سرویس که به اطلاعات مشتریان و انبارهای رمزگذاری شده متصل نیست، محدود شد. علاوه بر این، Toubba اشاره کرد که LastPass به رمزهای عبور اصلی کاربران، که برای رمزگشایی خزانه آنها نیاز است، دسترسی ندارد.
مدیر عامل شرکت گفت هیچ مدرکی مبنی بر اینکه این حادثه “شامل هرگونه دسترسی به داده های مشتری یا انبارهای رمزگذاری شده رمزگذاری شده” باشد وجود ندارد. آنها همچنین هیچ مدرکی مبنی بر دسترسی غیرمجاز بیش از این چهار روز و هیچ گونه اثری که هکر به سیستم ها کد مخرب تزریق کرده است، پیدا نکرد. توبا توضیح داد که بازیگر بد توانسته با به خطر انداختن نقطه پایانی یک توسعه دهنده به سیستم های سرویس نفوذ کند. سپس هکر جعل هویت توسعهدهنده را «زمانی که توسعهدهنده با استفاده از احراز هویت چند عاملی با موفقیت احراز هویت کرده بود» جعل کرد.
در سال 2015، LastPass با یک نقض امنیتی مواجه شد که آدرس ایمیل، هش احراز هویت، یادآوری رمز عبور و سایر اطلاعات را به خطر انداخت. نقض مشابه امروز ویرانگرتر خواهد بود، اکنون که ظاهراً این سرویس بیش از 33 میلیون مشتری ثبت شده دارد. در حالی که LastPass این بار از کاربران نمی خواهد کاری برای ایمن نگه داشتن داده های خود انجام دهند، همیشه تمرین خوبی است که از رمزهای عبور مجدد استفاده نکنید و احراز هویت چند عاملی را روشن کنید.