导致160万用户数据被盗，LastPass在英国被重罚120万英镑

IT之家 12 月 12 日消息，科技媒体 bleepingcomputer 昨日（12 月 11 日）发布博文，报道称英国信息专员办公室（ICO）发布公告，因 LastPass 未能采取有效的安全措施，导致 2022 年发生重大数据泄露事件，决定对其处以 120 万英镑（IT之家注：现汇率约合 1134.9 万元人民币）罚款。

调查报告指出，LastPass 在 2022 年 8 月至 10 月期间发生两起关联性数据泄露事件，由于未能落实足够的安全防护措施，直接导致黑客成功窃取了多达 160 万英国用户的个人数据，包括姓名、电子邮件、电话号码以及最为核心的加密密码库备份。

ICO 专员 John Edwards 强调，用户有理由通过密码管理器获得最高级别的数据保护，但 LastPass 未能履行这一基本义务。

事后调查显示，此次入侵的路径极具针对性且层层递进。攻击者首先在 2022 年 8 月入侵了一名开发人员的笔记本电脑，获取了部分源代码和加密的公司凭证。

由于解密密钥被隔离存储，LastPass 初期误判风险可控。然而，攻击者随即锁定了持有密钥的四名高级员工之一，利用其家用设备上安装的流媒体软件 Plex 的已知漏洞实施渗透。

黑客在设备植入恶意软件和键盘记录器后，成功截获了该高管的主密码，并利用已通过验证的 Cookie 绕过了多因素认证（MFA），彻底攻破防线。

黑客利用窃取的高管权限访问了公司云存储（GoTo），并复制了包含客户数据的数据库备份。虽然 LastPass 采用“零知识架构”（Zero Knowledge architecture），即公司服务器不存储用户的主密码，理论上黑客无法直接解密用户数据，但安全隐患依然严峻。

安全专家指出，攻击者已掌握了加密的密码库文件，可以利用 GPU 算力进行离线暴力破解。如果用户设置的主密码长度不足或过于简单，其存储的所有账号密码仍面临被完全破译的风险。事实上，已有研究人员声称发现部分加密货币盗窃案与此次泄露的弱密码库有关。

针对此次处罚，LastPass 表示虽然对结果感到失望，但已积极配合调查并显著加强了安全架构。ICO 则借此案例警告所有企业，必须重新审查远程办公风险和设备安全策略。