LastPass đã phải đối mặt với một sự cố an ninh mạng khác chỉ hai tháng sau sự cố bảo mật trước đó. Giám đốc điều hành của công ty, Karim Tuubbađã ghi nhận tất cả những chi tiết này thông qua một báo cáo công khai.
Và báo cáo này cũng đã làm rõ rằng một số thông tin khách hàng của họ cũng đã bị xâm phạm trong lần vi phạm bảo mật này, vì vậy hãy thảo luận ngắn gọn về vấn đề này bên dưới.
Vi phạm bảo mật mới nhất của LastPass: Tất cả chi tiết
Theo thông tin từ LastPass, tin tặc đã giành được quyền truy cập vào một máy chủ lưu trữ của công ty, nhưng công ty đã làm rõ rằng không có mật khẩu nào của khách hàng bị xâm phạm.
Ngoài ra, máy chủ này là từ dịch vụ lưu trữ đám mây của bên thứ ba đang được chia sẻ với LastPass và chi nhánh của họ Đi đến có nghĩa là nó chứa một số dữ liệu từ cả hai công ty ở một nơi.
Gần đây, chúng tôi đã phát hiện hoạt động bất thường trong dịch vụ lưu trữ đám mây của bên thứ ba, dịch vụ này hiện được chia sẻ bởi cả LastPass và chi nhánh GoTo của nó. Mật khẩu của khách hàng vẫn được mã hóa an toàn nhờ kiến trúc Zero Knowledge của LastPass. Thêm thông tin: https://t.co/xk2vKa7icq pic.twitter.com/ynuGVwiZcK
– LastPass (@LastPass) Ngày 30 tháng 11 năm 2022
Hiện tại, không có xác nhận nào về loại dữ liệu nào đã bị tin tặc đánh cắp, nhưng Giám đốc điều hành của công ty đã lưu ý rằng một số thông tin khách hàng của họ đã bị tác nhân đe dọa truy cập.
Như chúng ta đã biết, công ty nắm giữ mật khẩu của khách hàng, vì vậy họ biết rõ về việc tránh mọi rủi ro liên quan đến nó.
Đó là lý do tại sao họ lưu trữ mật khẩu của khách hàng trên một máy chủ không xác định, nơi chỉ khách hàng của họ mới có thể đăng nhập, vì vậy mật khẩu được mã hóa an toàn và họ gọi công nghệ này là LastPass’s Không có kiến thức.
Như karim lưu ý, vi phạm bảo mật này được kết nối với một vi phạm bảo mật trước đó mà họ đã gặp phải vào tháng 8 vì tin tặc có thể xâm nhập vào máy chủ của họ với thông tin mà anh ta đã đánh cắp trong vụ vi phạm dữ liệu trước đây.
Để xác định loại thông tin nào đã bị xâm phạm và cách tin tặc giành được quyền truy cập, công ty đã bắt đầu một cuộc điều tra toàn diện về vi phạm dữ liệu này.
Và cuộc điều tra này sẽ được thực hiện bởi một công ty an ninh mạng, bắt buộc, cũng là một công ty con của Google. Ngoài ra, công ty đã thông báo Thực thi pháp luật về nó.