LastPass在英国被罚120万镑:160万用户数据泄露事件分析
IT之家12月12日消息,科技媒体bleepingcomputer昨日(12月11日)发布报道称,英国信息专员办公室(ICO)发布公告,由于LastPass未能采取有效的安全措施,导致2024年发生重大数据泄露事件,决定对其处以120万英镑(IT之家注:现汇率约合1134.9万元人民币)的罚款。
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
调查报告指出,LastPass在2024年8月至10月期间发生两起关联性数据泄露事件,由于未能落实足够的安全防护措施,直接导致黑客成功窃取了多达160万英国用户的个人数据,包括姓名、电子邮箱、电话号码以及最核心的加密密码库备份。
ICO专员John Edwards强调,用户有理由通过密码管理器获得最高级别的数据保护,但LastPass未能履行这一基本义务。
事后调查显示,此次入侵的路径极具针对性且层层递进。攻击者首先在2024年8月入侵了一名开发人员的笔记本电脑,获取了部分源代码和加密的公司凭证。
由于解密密钥被隔离存储,LastPass初期误判风险可控。然而,攻击者随即锁定了持有密钥的四名高级员工之一,利用其家用设备上安装的流媒体软件Plex的已知漏洞实施渗透。
黑客在设备植入恶意软件和键盘记录器后,成功截获了该高管的主密码,并利用已通过验证的Cookie绕过多因素认证(MFA),彻底攻破防线。
黑客利用窃取的高管权限访问了公司云存储(GoTo),并复制了包含客户数据的数据库备份。虽然LastPass采用“零知识架构”,即公司服务器不存储用户的主密码,理论上黑客无法直接解密用户数据,但安全隐患依然严峻。
安全专家指出,攻击者已掌握了加密的密码库文件,可以利用GPU算力进行离线暴力破解。如果用户设置的主密码长度不足或过于简单,其存储的所有账号密码仍面临被完全破译的风险。事实上,已有研究人员声称发现部分加密数字货币盗窃案与此泄露的弱密码库有关。
针对此次处罚,LastPass表示虽然对结果感到失望,但已积极配合调查并显著加强了安全架构。ICO则借此案例警告所有企业,必须重新审查远程办公风险和设备安全策略。
相关攻略
IT之家 3 月 28 日消息,据《商业内幕》今日报道,在 Meta,AI 已经无处不在。多位员工透露,Meta 近期开始集中举办高强度“AI 培训周”,通过密集培训和实践活动,推动员工更深入使用
智通财经APP获悉,美股网络安全板块周五集体承压下行,CrowdStrike(CRWD US)、Palo Alto Networks(PANW US)和Zscaler(ZS US)股价均下跌逾5%,
我们每天都在使用搜索引擎查找信息、获取资源,它早已是数字生活的必备工具。正规搜索引擎持续优化升级,以强大算法与安全能力拦截成千上万的恶意攻击,全方位保障用户的使用安全。但仍有不法分子不遗余力地钻空子
IT之家 3 月 26 日消息,科技媒体 Android Authority 今天(3 月 26 日)发布博文,报道称谷歌为抵御未来量子计算对现有加密体系的潜在威胁,宣布在安卓 17 系统中引入后量
IT之家 3 月 26 日消息,卡巴斯基安全团队披露新型网络攻击手段,黑客正利用无代码 AI 建站平台 Bubble 生成并托管恶意网页应用,专门用于盗取微软账户凭证。IT之家注:Bubble 是一
热门专题
热门推荐
美团外卖商家版正式登录入口为https: epassport meituan com account login,商家可通过手机号与密码登录,支持忘记密码找回、安全设置、多设备登
ulmart是一家知名的电商平台,为消费者提供了丰富多样的商品选择。要访问ulmart正式,只需在浏览器中输入其最新网址,即可轻松开启购物之旅。ulmart正式入口链接是连接用户与
3月29日消息,雷军今日发帖宣布,新一代SU7首周交付了四五千辆,并向网友询问,这个交付速度如何?客观而言,要说此前购买小米SU7的最大痛点是什么,那必然是供不应求导致的交付太慢。车主下订后显示提车
1 玩家想要查看电脑版迷你世界游戏的截图,首先找到电脑中安装QQ游戏的盘后并进行点击;2 找到游戏对应的盘然后再找到QQ游戏文件夹;3 接着需要找到MiniGames文件夹;4 然
迅雷网页版云盘入口:https: pan xunlei com ,迅雷网页版云盘入口是用户通过浏览器直接访问迅雷云存储服务的最新门户。该入口允许用户在不启动迅雷桌面客户端的情况下,登录个人账号并管