🔥 Sở Lao động - Thương binh và Xã hội tỉnh Quảng Nam đã đăng ký tín nhiệm. 🔥                    🔥 Sở Ngoại vụ tỉnh Hà Tĩnh đã đăng ký tín nhiệm. 🔥                    🔥 Văn phòng HĐND và UBND huyện Ngọc Hồi, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Sở Công Thương tỉnh Ninh Bình đã đăng ký tín nhiệm. 🔥                    🔥 Trung tâm Xúc tiến thương mại và Đầu tư tỉnh An Giang đã đăng ký tín nhiệm. 🔥                   

Tin tặc đã có quyền truy cập vào Hệ thống phát triển của LastPass trong bốn ngày

20/09/2022

Mới đây, công ty cung cấp giải pháp quản lý mật khẩu LastPass đã chia sẻ thêm chi tiết liên quan đến một sự cố bảo mật của công ty xảy ra vào tháng trước, cho biết kẻ đe dọa đã có quyền truy cập vào hệ thống phát triển của công ty trong khoảng thời gian 4 ngày.

Trong một bản cập nhật được chia sẻ vào ngày 15 tháng 9, Giám đốc điều hành LastPass, Karim Toubba cho biết “không có bằng chứng về bất kỳ hoạt động nào của tác nhân đe dọa nằm ngoài khoảng thời gian đã xác định” và “không có bằng chứng cho thấy sự cố này liên quan đến bất kỳ quyền truy cập hay dữ liệu khách hàng hoặc kho mật khẩu đã được mã hóa”.

Trước đó, vào cuối tháng 8, LastPass tiết lộ rằng một vi phạm nhắm vào môi trường phát triển của họ đã khiến một số mã nguồn và thông tin kỹ thuật của công ty bị đánh cắp.

Công ty đã hợp tác với một công ty ứng cứu sự cố và hoàn thành cuộc điều tra về vụ tấn công, cho biết kẻ tấn công đã giành được quyền truy cập thông qua endpoint bị xâm phạm của một nhà phát triển.

Mặc dù phương pháp truy cập ban đầu vẫn chưa được xác định, LastPass lưu ý rằng kẻ tấn công đã "mạo danh nhà phát triển" sau khi vượt qua kiểm tra xác thực đa yếu tố của tài khoản nhà phát triển.

Công ty nhấn mạnh rằng mặc dù có thể truy cập trái phép, nhưng kẻ tấn công không thể lấy bất kỳ dữ liệu nhạy cảm nào của khách hàng do công ty đã triển khai các hệ thống và giải pháp để ngăn chặn các sự cố như vậy, bao gồm việc tách biệt hoàn toàn giữa môi trường phát triển và môi trường sản xuất (production).

Toubba cho biết "Không có mật khẩu chính (master password), không ai khác ngoài chủ sở hữu có thể giải mã và truy cập vào kho mật khẩu của họ".

Công ty cũng đã kiểm tra lại toàn bộ mã nguồn sản phẩm, cho biết thêm rằng các nhà phát triển không có quyền để đưa mã nguồn trực tiếp từ môi trường phát triển vào môi trường sản xuất.

Cuối cùng, LastPass cho biết họ đã triển khai các dịch vụ của một công ty an ninh mạng "hàng đầu" để tăng cường bảo mật cho mã nguồn đồng thời bổ sung các biện pháp bảo vệ endpoint để phát hiện và ngăn chặn tốt hơn các cuộc tấn công nhằm vào hệ thống của mình.

Nguồn: thehackernews.com.

scrolltop