LastPass泄露160万英国用户数据,被处120万英镑重罚
12月12日,科技媒体bleepingcomputer放出消息,透露英国信息专员办公室(ICO)已于昨日(12月11日)发布正式公告,认定知名密码管理服务商LastPass因未能采取足够有效的安全防护措施,导致在2024年连续发生重大用户数据泄露事件,决定对其处以高达120万英镑(按当前汇率折合人民币约1134.9万元)的行政罚款。
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
调查报告明确指出,LastPass在2024年8月至10月间接连遭受两起存在关联的数据入侵。正是由于公司在关键安全措施上存在明显疏漏,黑客得以直接窃取超过160万英国用户的个人敏感信息,包括用户的姓名、电子邮箱、电话号码,以及最为核心的加密密码库备份数据。
ICO专员约翰·爱德华兹在公告中强调,用户完全有理由期待通过密码管理器获得最高级别的数据安全保障,而LastPass显然未能履行这一基本责任。
深入调查发现,此次攻击路径极具针对性且层层递进。攻击者首先在2024年8月成功入侵了一名开发人员的个人笔记本电脑,从而获取了部分服务器源代码和加密的公司访问凭证。
尽管解密密钥采用隔离存储,LastPass起初误判风险可控。然而,攻击者很快锁定了一名持有密钥的高级管理人员,并利用其家用设备上安装的流媒体软件Plex的已知安全漏洞实施渗透。
黑客在该设备上植入恶意软件和键盘记录器后,成功截获了该高管的主密码,并利用已验证的登录凭证Cookie绕过多重身份认证(MFA)验证,彻底突破了公司的内部防线。
随后,黑客利用窃取的高级权限访问了公司的云端存储服务器(GoTo),复制了含有大量客户信息的数据备份。虽然LastPass声称采用了“零知识架构”,即服务器端不存储用户的主密码,理论上黑客无法直接解密用户数据,但实际安全风险依然严峻。
安全专家分析指出,攻击者现已掌握加密的密码库文件,能够利用高性能GPU算力进行离线暴力破解。如果用户设置的主密码强度不足或过于简单,其密码库内存储的所有账户密码仍面临被完全破解的极高风险。事实上,已有研究人员声称发现部分加密货币盗窃案件与此次泄露的弱密码库直接相关。
针对此次处罚,LastPass回应称虽然对裁决结果感到失望,但公司已积极配合调查并显著加强了整体安全架构。ICO则借此案例向所有企业发出警告,强调必须重新审视远程办公的风险管控与设备安全策略。
相关攻略
2月24日,OPPO ColorOS设计总监陈希发文吐槽苹果最新旗舰iPhone 17 Pro。他表示,公司的iPhone今天退库要激活机器查看imei,结果分别卡在了:书面语与口头语设置环节:界
1月25日消息,网络安全意识的宣传年年都在进行,但许多用户的密码习惯却几乎没有改变。根据Specops Software最新发布的网络安全报告,团队分析了2025年全年约60亿组泄露的密码,结果显示
12 月 12 日消息,科技媒体 bleepingcomputer 昨日(12 月 11 日)发布博文,报道称英国信息专员办公室(ICO)发布公告,因 LastPass 未能采取有效的安全措施,导
9月26日消息,近日,在京东全球科技探索者大会上,京东CEO许冉现场演示京东新推出的数字人万能助手。演示过程中,她通过语音发出指令“你好,万能博士,帮我给会场的朋友点杯咖啡吧”,AI助手在3秒内完成
10 月 9 日消息,科技媒体 The Verge 今天(10 月 9 日)发布博文,报道称密码管理工具 1Password 公司为解决浏览器 AI 智能体在自动执行网页任务时,可能泄露用户登录信
热门专题
热门推荐
可在PPT中通过三种方式实现非矩形背景图片:一、用形状填充功能将图片嵌入指定矢量形状;二、用删除背景与合并形状制作自定义镂空轮廓;三、用外部工具预处理生成透明PNG再导入。如果您希
全球6G标准制定竞争激烈,中国在2026年政府工作报告明确提出要培育发展6G未来产业,当下有何布局?3月27日,在中关村论坛期间,中关村泛联院专职副院长金毅敦接受媒体采访时表示,我国自2019年开始
三角洲行动烽火职业联赛指定笔记本!荣耀WIN游戏本定档4月发布3月27日,荣耀正式官宣荣耀WIN游戏本将于4月正式发布。作为2026三角洲行动烽火职业联赛最新指定笔记本,荣耀WIN游戏本凭借性能与散
雷递网 雷建平 3月28日星环信息科技(上海)股份有限公司(简称:“星环科技”)日前递交招股书,准备在港交所上市。星环科技是2024年10月在科创板上市,当时发行价为47 34元,发行3021万股,
Agentic Internet来了。当地时间2026年3月26日,网络安全公司HUMAN Security发布年度报告《AI 流量与网络威胁基准状态》(The 2026 State of AI T