LastPass 称员工家用电脑被黑企业密码库令牌被盗

提供密码管理服务的 LastPass 更新了去年发生的严重安全事故的最新调查结果：它的一名高级工程师的家用电脑遭到黑客入侵，而这名员工拥有企业密码库的访问权限。LastPass 称，8 月 12 日到 26 日之间，未知黑客窃取到了一名高级 DevOps 工程师的有效凭证。黑客利用了第三方媒体软件包的漏洞入侵了该工程师的家用电脑，植入了按键记录器，窃取到主密码。该工程师是 LastPass 四名能访问企业密码库的工程师之一。在进入企业密码库之后，黑客导出了所有条目，其中包括 AWS S3 LastPass 产品备份的密钥。匿名消息来源透露，黑客利用的媒体软件是 Plex，而 Plex 在去年 8 月 24 日披露遭到了入侵，但暂时还不知道两起安全事故是否存在关联。