據Bleeping Computer報道，密碼管理巨頭 LastPass 兩周前遭到黑客攻擊，盡管公司在發現攻擊行為后已經拼命進行阻止，但是結果令人感到惋惜，黑客依舊突破了封鎖，可竊取該公司的源代碼和專有技術信息。

8月25日，在發送有關此次攻擊的問題后，LastPass 發布了一份安全公告，確認黑客是通過訪問公司開發人員的賬戶進行入侵，并對開發環境進行破壞。

在發布的安全報告中，LastPass表示目前沒有任何證據表明客戶數據或加密的密碼庫遭到破壞，但承認攻擊者確實竊取了部分“源代碼”和“LastPass 專有的技術信息”。

攻擊事件發生后，LastPass對外稱已經聘請了一家領先的網絡安全和取證公司進行處理，盡可能部署遏制和緩解措施，降低該事件帶來的影響。“雖然該事件的調查還在持續進行，但是我們已經有效遏制了此次攻擊，實施了額外的強化安全措施，并且沒有看到任何未經授權的活動的進一步證據。”

LastPass向客戶發送了電子郵件告知此次攻擊事件，至于和此次攻擊的詳細過程，以及攻擊者如何入侵開發者帳戶，哪些源代碼和專有技術信息被盜等相關信息，LastPass 并沒有對外提供。

LastPass 安全咨詢通過電子郵件發送給客戶

資料顯示，LastPass 是世界上最大的密碼管理公司之一，對外宣稱有超過3300萬人和10萬家企業正在使用其產品。

由于消費者和企業使用該公司的軟件來安全地存儲他們的密碼，因此不少用戶對于此次攻擊事件的衍生后果表示非常擔憂，如果黑客獲取了相應的權限，那么很有可能被允許訪問用戶存儲的密碼信息。

對此，LastPass表示公司將密碼存儲在“加密保險庫”中，只能使用客戶的主密碼進行解密，在此次攻擊中并未收到任何破壞。

但是該聲明并未打消用戶的全部疑慮，因為在2021年，LastPass曾遭受撞庫攻擊，并且攻擊者可以確認用戶的主密碼。更糟糕的是，這些主密碼被使用RedLine 密碼竊取惡意軟件的攻擊者竊取。

換句話說，用戶不可因為信任LastPass 而完全放松警惕，主密碼也有可能在網絡攻擊中泄露，所以在LastPass 帳戶上啟用多因素身份驗證是一件非常有必要的措施。此外，還需要保持良好的密碼使用習慣，并定期進行更換，提高密碼的安全性。

參考來源：https://www.bleepingcomputer.com/news/security/lastpass-developer-systems-hacked-to-steal-source-code/