12月12日,科技媒体bleepingcomputer放出消息,透露英国信息专员办公室(ICO)已于昨日(12月11日)发布正式公告,认定知名密码管理服务商LastPass因未能采取足够有效的安全防护措施,导致在2024年连续发生重大用户数据泄露事件,决定对其处以高达120万英镑(按当前汇率折合人民币约1134.9万元)的行政罚款。
调查报告明确指出,LastPass在2024年8月至10月间接连遭受两起存在关联的数据入侵。正是由于公司在关键安全措施上存在明显疏漏,黑客得以直接窃取超过160万英国用户的个人敏感信息,包括用户的姓名、电子邮箱、电话号码,以及最为核心的加密密码库备份数据。
ICO专员约翰·爱德华兹在公告中强调,用户完全有理由期待通过密码管理器获得最高级别的数据安全保障,而LastPass显然未能履行这一基本责任。
深入调查发现,此次攻击路径极具针对性且层层递进。攻击者首先在2024年8月成功入侵了一名开发人员的个人笔记本电脑,从而获取了部分服务器源代码和加密的公司访问凭证。
尽管解密密钥采用隔离存储,LastPass起初误判风险可控。然而,攻击者很快锁定了一名持有密钥的高级管理人员,并利用其家用设备上安装的流媒体软件Plex的已知安全漏洞实施渗透。
黑客在该设备上植入恶意软件和键盘记录器后,成功截获了该高管的主密码,并利用已验证的登录凭证Cookie绕过多重身份认证(MFA)验证,彻底突破了公司的内部防线。
随后,黑客利用窃取的高级权限访问了公司的云端存储服务器(GoTo),复制了含有大量客户信息的数据备份。虽然LastPass声称采用了“零知识架构”,即服务器端不存储用户的主密码,理论上黑客无法直接解密用户数据,但实际安全风险依然严峻。
安全专家分析指出,攻击者现已掌握加密的密码库文件,能够利用高性能GPU算力进行离线暴力破解。如果用户设置的主密码强度不足或过于简单,其密码库内存储的所有账户密码仍面临被完全破解的极高风险。事实上,已有研究人员声称发现部分加密货币盗窃案件与此次泄露的弱密码库直接相关。
针对此次处罚,LastPass回应称虽然对裁决结果感到失望,但公司已积极配合调查并显著加强了整体安全架构。ICO则借此案例向所有企业发出警告,强调必须重新审视远程办公的风险管控与设备安全策略。
