最近保安事件通知
截至2022年11月30日星期三更新
致所有LastPass用户:
为了保持我们对透明度的承诺,我想告诉你我们的团队目前正在调查的一起安全事件。
我们最近在一个第三方云存储服务中发现了不寻常的活动,该服务目前由LastPass及其附属公司共享,转到.我们立即展开了调查,聘请了领先的安全公司Mandiant,并通知了执法部门。
我们已经确定,未经授权的一方使用在2022年8月事件中获得的信息,能够访问我们客户信息的某些元素。由于使用了LastPass,我们客户的密码仍然是安全加密的零知识体系结构。
我们正在努力了解事件的范围,并确定哪些具体信息被访问。与此同时,我们可以确认LastPass的产品和服务将继续全面运行。一如既往,我们建议您遵循我们关于LastPass设置和配置的最佳实践,可以在这里找到在这里.
作为我们努力的一部分,我们将继续在我们的基础设施中部署增强的安全措施和监控能力,以帮助发现和防止威胁行为者的进一步活动。
感谢您在我们调查期间的耐心等待。正如我们的惯例,我们将继续提供更新,当我们了解更多。
卡里姆Toubba
LastPass首席执行官
截至2022年9月15日星期四更新
致所有LastPass客户,
8月25日th, 2022,我们曾通知您,LastPass开发环境发生了一起安全事件,我们的一些源代码和技术信息被窃取 我想向你们更新我们的调查结论,为我们的消费者和商界提供透明度和安心。雷竞技没用真名能提现吗
我们已经与Mandiant合作完成了调查和取证过程。我们的调查显示,威胁行为者的活动仅限于2022年8月的四天。在此期间,LastPass安全团队检测到威胁行为者的活动然后控制住了这一事件。没有证据表明在既定时间线之外有任何威胁行为。我们还可以确认,没有证据表明该事件涉及任何对客户数据或加密密码库的访问。
我们的调查确定,威胁行为者使用开发人员被破坏的端点获得了对开发环境的访问.虽然用于初始终点妥协的方法是不确定的,但是威胁行动者利用他们的持久访问权限冒充开发人员一次 开发人员 已使用多因素身份验证成功进行身份验证。
虽然威胁行为者能够访问开发环境,但我们的系统设计和控制阻止了威胁行为者访问任何客户数据或加密密码金库.
首先,LastPass开发环境在物理上与我们的生产环境是分离的,并且没有直接的连接。其次,开发环境不包含任何客户数据或加密金库。第三,LastPass没有任何访问我们客户金库的主密码的权限——没有主密码,作为我们零知识安全模型的一部分,除了金库所有者之外,任何人都不可能解密金库数据。
为了验证代码的完整性,我们对源代码和产品构建进行了分析,并确认我们没有看到代码中毒或恶意代码注入的企图。开发人员没有推送能力 将源代码从开发环境转移到生产环境。这种能力仅限于一个单独的构建发布团队,并且只能在完成严格的代码审查、测试和验证过程之后发生。
作为我们风险管理计划的一部分,我们还与一家领先的网络安全公司合作,进一步加强我们现有的源代码安全实践,包括安全软件开发生命周期流程、威胁建模、漏洞管理和漏洞奖励计划。
此外,我们还部署了增强的安全控制,包括额外的端点安全控制和监控。我们还在开发和生产环境中部署了额外的威胁情报能力以及增强的检测和预防技术。
我们认识到任何类型的安全事件都令人不安,但我们向您保证,您的个人数据和密码在我们的保管下是安全的。
感谢您一直以来的信任和支持。
卡里姆Toubba
首席执行官LastPass
原文发布于2022年8月25日
致所有LastPass用户:
我想告诉你们一项进展,我们认为有必要与我们的LastPass业务和消费者社区分享。雷竞技没用真名能提现吗
两周前,我们在LastPass开发环境的某些部分中检测到一些不寻常的活动。在立即启动调查后,我们没有看到任何证据表明该事件涉及任何对客户数据或加密密码库的访问。
我们已经确定,未经授权的一方通过一个被入侵的开发人员帐户访问了部分LastPass开发环境,并获取了部分源代码和一些专有的LastPass技术信息。我们的产品和服务运行正常。
为了应对这一事件,我们已经部署了遏制和缓解措施,并聘请了一家领先的网络安全和取证公司。虽然我们的调查仍在进行中,但我们已经达到了遏制的状态,实施了额外的加强安全措施,并且没有发现进一步的未经授权的活动的证据。
根据我们所学到的和实施的经验,我们正在评估进一步的缓解技术,以加强我们的环境。我们在下面提供了一个简短的常见问题解答,我们预计这些问题将是您最紧迫的初始问题和关注。我们将继续向您提供您应得的透明度。
感谢大家的耐心、理解和支持。
卡里姆Toubba
首席执行官LastPass
常见问题
1.我的主密码或我的用户的主密码是否被泄露?
不。此事件没有泄露您的主密码。我们从未存储或有您的主密码的知识。我们利用行业标准的零知识架构,确保LastPass永远不会知道或访问我们客户的主密码。你可以阅读Zero Knowledge的技术实现在这里.
2.我的保险库或我的用户的保险库中的任何数据被泄露了吗?
不。此事件发生在我们的开发环境中。我们的调查显示没有任何证据表明有人未经授权访问加密的保险库数据。我们的零知识模型确保只有客户有权解密保险库数据。
3.我的个人信息或我的用户的个人信息是否被泄露?
不。我们的调查显示,在我们的生产环境中,没有任何未经授权访问客户数据的证据。
4.我应该如何保护自己和我的保险库数据?
在这个时候,我们不建议代表我们的用户或管理员采取任何行动。和往常一样,我们建议你遵循我们关于LastPass设置和配置的最佳实践在这里。
5.我怎样才能得到更多的信息?
我们将继续为客户提供他们应得的透明度。