本周早些時候,LastPass開始通知其用戶“最近的安全事件”,其中“未經授權的一方”使用受損的開發人員帳戶訪問其密碼管理器的部分源代碼和“一些專有的LastPass技術信息”。該公司首席執行官KarimToubba在給用戶的一封信中解釋說,其調查并未發現任何用戶數據或加密密碼被訪問的證據。
Toubba繼續解釋說,該公司在遏制了兩周前發現的違規行為后“實施了額外的增強安全措施”。該公司不會評論違規行為在被發現之前已經持續了多長時間。
正如LastPass解釋的那樣,此時它的用戶不需要做任何事情——你沒有理由花一個下午來更改你的主密碼并進行全面的安全審計。另一方面,LastPass可能已經完成了它的工作,以確保它不必進行任何更改,因為未經授權的一方可以訪問其源代碼。
需要明確的是,黑客可以訪問程序的源代碼并不意味著他們可以立即破解它,突破它的防御。眾所周知,微軟表示它不依賴其源代碼保持私有的安全性,并表示人們能夠閱讀它不應該是一種風險(這是一件好事,因為它的源代碼泄漏了很多)。盡管任何公司都應該是這種情況,尤其是那些整個交易都在保證您的密碼安全的公司,但我可能希望該公司仔細研究其代碼,以確保它不會遺漏任何細微的漏洞,如果我是LastPass的客戶。
盡管該漏洞似乎并不是該公司安全問題的紅色警報,但對于一直在與聲譽作斗爭的密碼管理器來說,這仍然不是一個很好的選擇。這只是LastPass一系列事件中的最新一起(該軟件的Wikipedia頁面主要由標題為“安全問題”的部分組成),該公司還因將其免費層級更改為在2021年初。