Plex急忙解释:Lastpass被黑与他们无关 2年前的漏洞都不修复
最近密码管理器 Lastpass 公布了一份新调查报告,在调查报告中 Lastpass 称掌握其 DevOps 环境密码的四名核心工程师之一的工程师,因为在家里电脑安装了流媒体播放器 Plex 而被黑客入侵。
Lastpass 称 Plex 存在某个安全漏洞,黑客利用这个漏洞进入这名核心工程师的家庭办公 PC,然后安装了键盘记录器。这名工程师在家里远程连接公司办公环境的时候输入了密码,导致黑客成功进入 Lastpass 内部系统。
比较巧合的是 Plex 在 2022 年 8 月 24 日发布安全公告,称其监测到数据库中有异常活动,泄露了用户名、电子邮件和带盐的密码,当时 Plex 提醒所有用户修改自己的密码。
Lastpass 被黑也大概在这个时间点,所以我们想当然的以为 2022 年 8 月这个漏洞就是导致 Lastpass 工程师被黑的。
搞笑的是 Plex 现在站出来回应表示自己不背锅,因为被黑的 Lastpass 工程师两年多都没有更新自己的 Plex 软件,也就是长期使用带有安全漏洞的版本。
Plex 称 2020 年 5 月 7 日该公司披露了一个安全漏洞,该漏洞允许那些有权限访问服务器管理员 Plex 账户的人,通过相机上传功能上传恶意文件到媒体库,然后利用服务器数据目录的位置与上传的库重叠,并让媒体服务器自动执行这个恶意文件。
披露漏洞的当天 Plex 就推出了 Plex Media Server v1.19.3 版修复了该漏洞,然后至少到 2022 年 8 月 Lastpass 工程师都没有升级自己的软件。
Plex 称从漏洞披露到 Lastpass 工程师被黑,这中间已经产生了 75 个正式版本,Lastpass 工程师始终没有更新,导致黑客利用该漏洞入侵了他的 PC。从这方面来看,这事儿与 2022 年 8 月 Plex 数据库系统被黑没有半毛钱关系,Lastpass 甩锅失败。
目前 Lastpass 还没有就 Plex 的这份回应发布新报告,但 Lastpass 的内部管理显然有问题,允许核心员工通过家庭 PC 远程访问公司的系统,这也是导致密钥泄露的因素之一。
最后也要提醒各位,及时升级软件到最新版是个非常重要的安全措施,不要因为某些软件新版本不好用就不更新,安全问题真的是没法马虎。