的LastPass漏洞赏金程序是我们测试LastPass安全性的众多方法之一。我们从安全行业最优秀的研究人员那里众包网络安全知识，帮助我们的客户构建更好、更强大的解决方案。

今天，我们想分享一些最近的产品改进，这些改进是由于2019年上半年的漏洞赏金计划而实现的。

服务器端代码的潜在操作

报告:Wladimir Palant提交的漏洞赏金报告描述了一个假设的场景，如果LastPass服务器被入侵，服务器端代码可能被操纵，并且已经被执行，这种代码操纵可能会在用户不知情的情况下滥用网站和用户的保险库扩展。

解决办法:在这份报告之后，我们采取了额外的步骤，以确保从服务器提供的代码不能在用户不知情的情况下访问客户端的秘密。LastPass通过适当的安全控制和实践保护基础设施和客户数据，并维护定期升级的系统。此外，LastPass还会定期进行内部审计，并通过第三方评估内部控制，以保护客户委托给我们的信息的安全性、机密性、完整性、可用性和隐私。LastPass维护SOC2 Type II和SOC 3报告，以及TRUSTe认证的隐私认证。

#2密雷竞技押注图片码管理器和内存

报告:提交的一份报告指出，一个潜在的漏洞发现，某些秘密可能能够在锁定状态的系统内存(RAM)中找到，并特别适用于LastPass for Applications，我们的传统本地Windows应用程序(占所有LastPass使用量的不到0.2%)。为了读取应用程序的内存，攻击者或恶意行为者首先需要对受损计算机具有本地访问权和管理员级别的特权。此外，该报告还提高了人们对保护内存中的秘密不受具有管理特权的攻击者的限制的认识。一般来说，也与其他密码管理器的意见一致，一旦攻击者拥有本地访问权限和管理员级别的特权，操作系统就会受到损害，攻击者最终将能够访雷竞技押注图片问设备上的任何内容，而不管使用LastPass或任何其他密码管理器。这与是否使用密码管理器无关，例如，恶意行为者可以安装键盘记录器来读取输入的密码，或者访问雷竞技押注图片电子邮件并重置帐户，如果他们已经有效地破坏了计算机或用户的软件。

解决办法:我们已经对LastPass应用程序进行了更改，旨在减轻和最小化本报告中详细描述的潜在攻击的风险。为了减少妥协的风险，而LastPass应用程序处于锁定状态，LastPass应用程序现在将关闭应用程序时，用户注销，清除内存，不留下任何东西。然而，虽然LastPass已经采取了某些措施来帮助减轻潜在的伤害，但这种性质的观察强调，用户需要确保对自己的系统和软件进行适当的保护，以防止恶意行为者或攻击者在客户端。

# 3帐户重置流程

报告:本报告涉及帐户重置过程中的一个场景。如果LastPass用户要重置他们的帐户，实例将重置该用户的保险库，但可以保留其在任何共享文件夹中的成员资格。在下次登录时，用户可能会在管理员的共享文件夹权限列表中继承其上面的用户的共享文件夹访问权限。

解决办法:LastPass工程团队进行了多个修复，以确保通过帐户重置过程将用户完全从任何共享文件夹中删除。该报告还有助于告知业务决策，以防止用户在重置帐户后收到原始的共享折页。雷竞技没用真名能提现吗相反，具有访问权限的管理员需要将共享文件夹重新分配给用户。

致力于安全

在LastPass，安全始终是我们的首要任务。我们的漏洞赏金计划对LastPass的安全性进行了测试，这样我们就可以为客户打造更好、更强大的产品。我们将继续与安全社区合作，以尽快回应和修复潜在的漏洞报告。

如果您是一名安全研究人员，我们欢迎您报告任何发现通过我们的Bugcrowd简介．您还可以查看我们最新的Bugcrowd更新在这里．