英国信息专员办公室(ICO)对LastPass 英国有限公司处以120 万英镑罚款,理由是该公司未能落实充分的安全防护措施,最终导致 2022 年发生重大数据泄露事件,致使多达160 万英国用户的个人信息遭到泄露。
得益于 LastPass 采用的零知识加密技术架构,其密码保管库中存储的用户密码并未被窃取,但攻击者仍成功获取了大量敏感元数据,包括用户姓名、电子邮箱地址、电话号码以及保管库中存储的网站链接。
ICO 的调查结论显示,此次数据泄露源于两起相互关联的安全事件。第一起事件发生在 2022 年 8 月,一名黑客利用漏洞入侵了 LastPass 欧洲地区一名开发人员的公司笔记本电脑。这次初始入侵为攻击者提供了立足点,使其得以提取与公司开发环境相关的加密凭证。
尽管 LastPass 采取了相应的缓解措施,但攻击者随后通过攻陷美国一名高管的个人设备,进一步提升了自身访问权限 —— 该高管的密码保管库中存储有解密密钥。攻击者利用一款第三方流媒体应用中已知的漏洞,在受害者设备上植入了键盘记录器;同时借助一枚此前已获取的可信 Cookie 绕过了多因素认证机制,最终窃取了该高管用于关联个人与企业密码保管库的主密码。
凭借提升后的访问权限,攻击者获取了访问 LastPass 备份存储所需的亚马逊云服务(AWS)凭证与加密密钥。最终,攻击者窃取了大量用户信息,但加密的密码保管库本身未被破解。
LastPass 是全球应用最广泛的密码管理器之一,据称服务着超过 3000 万个人用户与8.5 万余家企业客户。该服务的核心优势在于采用零知识加密技术,这意味着即便是 LastPass 的内部员工,也无法访问用户保管库中的内容,且用户主密码绝不会存储在公司服务器中。
然而,ICO 的裁决指出,LastPass 在保护加密数据存储系统的访问安全方面存在重大缺陷。英国信息专员约翰・爱德华兹(John Edwards) 表示:“密码管理器是极具价值的工具,但这类工具需要最高级别的内部安全防护。” 他还强调,处理此类敏感数据的企业必须 “紧急审查自身的系统与操作流程”。
2023 年初,该公司在美国遭遇了集体诉讼,原告指控 LastPass 在数据泄露事件的处理上存在疏忽,且就事件影响范围向用户进行了误导。该案原告称,其存储在受影响保管库中的私人加密货币密钥被盗,因此索赔超过 5 万美元的损失。该诉讼还进一步指控,LastPass 未能及时披露数据泄露的严重程度,将关键信息的公布时间拖延至 2022 年 12 月。
发表评论
您还未登录,请先登录。
登录