LastPass 遭入侵四日 用戶毋須改帳戶密碼?

LastPass 遭入侵四日 用戶毋須改帳戶密碼?

密碼管理器供應商LastPass今年8月被黑客入侵,而且喺事發後兩星期先公開事件,令用戶非常震驚。事關所有帳戶登入資料及密碼都記晒係LastPass入面,如果真係俾犯罪分子攞到數據,直接啲講真係一鋪清袋!不過,LastPass 方面終於完成調查,話喺今次事件中無客戶受到影響,而且由於公司無保存客戶用於加密及解鎖密碼嘅 Master Key,所以用戶大可以放心繼續使用咁話。

究竟點做到?不如一齊了解吓 LastPass 公布嘅調查報告。官方指今次入侵嘅源頭係黑客成功感染開發部門員工嘅電腦,再通過呢部電腦內儲存嘅公司帳戶session key,令黑客毋須再通過多重因素驗證(MFA),直接進入帳戶。不過,官方話因為公司有良好嘅網絡安全政策,所以就算入侵咗內部網絡四日,一樣做唔到啲乜。首先,開發人員的帳戶存取權限有嚴格管控,因此黑客無權去接觸公司客戶及用戶嘅資料及密碼;唔單只開發人員,LastPass 亦唔會保存客戶用於加密及解鎖密碼嘅 Master Key,所以黑客亦無可能攞到相關資料。最後,開發人員完成嘅產品更新版本,必須通過生產團隊內部審查,加上雙方亦唔會有任何物理上嘅接觸,獨立喺唔同地方工作,所以今次黑客亦唔可以暗中喺LastPass內插入惡意編碼。有咁安全嘅政策,企業管理者或IT部門應該學到嘢啦!

詳情:https://bit.ly/3xwMxX7