LastPass在英国被罚120万镑：160万用户数据泄露事件分析

IT之家12月12日消息，科技媒体bleepingcomputer昨日（12月11日）发布报道称，英国信息专员办公室（ICO）发布公告，由于LastPass未能采取有效的安全措施，导致2024年发生重大数据泄露事件，决定对其处以120万英镑（IT之家注：现汇率约合1134.9万元人民币）的罚款。

调查报告指出，LastPass在2024年8月至10月期间发生两起关联性数据泄露事件，由于未能落实足够的安全防护措施，直接导致黑客成功窃取了多达160万英国用户的个人数据，包括姓名、电子邮箱、电话号码以及最核心的加密密码库备份。

ICO专员John Edwards强调，用户有理由通过密码管理器获得最高级别的数据保护，但LastPass未能履行这一基本义务。

事后调查显示，此次入侵的路径极具针对性且层层递进。攻击者首先在2024年8月入侵了一名开发人员的笔记本电脑，获取了部分源代码和加密的公司凭证。

由于解密密钥被隔离存储，LastPass初期误判风险可控。然而，攻击者随即锁定了持有密钥的四名高级员工之一，利用其家用设备上安装的流媒体软件Plex的已知漏洞实施渗透。

黑客在设备植入恶意软件和键盘记录器后，成功截获了该高管的主密码，并利用已通过验证的Cookie绕过多因素认证（MFA），彻底攻破防线。

黑客利用窃取的高管权限访问了公司云存储（GoTo），并复制了包含客户数据的数据库备份。虽然LastPass采用“零知识架构”，即公司服务器不存储用户的主密码，理论上黑客无法直接解密用户数据，但安全隐患依然严峻。

安全专家指出，攻击者已掌握了加密的密码库文件，可以利用GPU算力进行离线暴力破解。如果用户设置的主密码长度不足或过于简单，其存储的所有账号密码仍面临被完全破译的风险。事实上，已有研究人员声称发现部分加密数字货币盗窃案与此泄露的弱密码库有关。

针对此次处罚，LastPass表示虽然对结果感到失望，但已积极配合调查并显著加强了安全架构。ICO则借此案例警告所有企业，必须重新审查远程办公风险和设备安全策略。