6月23日,密码管理工具LastPass再次陷入安全风波——这次并非产品自身漏洞,而是一场典型的“城门失火,殃及池鱼”式第三方供应链攻击。据AppleInsider报道,事件核心在于黑客利用了第三方供应商Klue(一家竞品情报平台)被盗的OAuth Token,成功潜入LastPass的Salesforce环境,进而接触到客户支持和销售系统中的部分数据。

那么,具体泄露了哪些信息?受影响的数据包括客户姓名、电话号码、电子邮件地址、实体住址、支持案例详情以及销售相关的客户关系管理(CRM)资料。听起来令人担忧,但LastPass特别强调,本次事件并未波及产品、基础设施、服务、密码保险库以及用户已存储的凭证——换言之,黑客只是绕过了核心资产,未能真正突破防线。真正受到影响的,仅仅是那些与Klue集成的系统区域。
事件曝光后,LastPass迅速采取行动:轮换所有受影响的访问Token,禁止员工继续访问Klue,启动内部调查并通知执法部门。Klue方面也未懈怠,撤销了被盗凭证和Token,移除未授权代码,并停用相关集成。
回顾来看,这已是LastPass近年来公开的又一起安全事件。尽管每次官方都强调保险库无恙,但反复出现的第三方风险仍让人对这类“信任链”的安全性多了一分警惕。毕竟,数据安全的薄弱环节往往不在最坚固的一环,而在最脆弱的连接点。
