英国ICO对LastPass处以120万英镑罚款
12月12日,据科技媒体BleepingComputer报道,英国信息专员办公室(ICO)宣布对密码管理工具LastPass处以120万英镑(约合1134.9万元人民币)罚款,原因是其未能采取有效安全措施,导致2022年发生重大数据泄露事件。
两次关联性泄露影响160万英国用户
调查显示,2022年8月至10月期间,LastPass接连遭遇两起关联性数据泄露。因安全防护不足,黑客成功窃取约160万英国用户的姓名、电子邮件、电话号码及加密的密码库备份等敏感信息。
攻击路径层层渗透,绕过多因素认证
攻击始于2022年8月——黑客入侵一名开发人员的笔记本电脑,获取部分源代码与加密凭证;随后利用流媒体软件Plex的已知漏洞,渗透一名持有解密密钥的高级员工家用设备,并通过键盘记录器截获其主密码,再借助已验证Cookie绕过多因素认证(MFA),最终攻入公司云存储(GoTo),复制含客户数据的数据库备份。
“零知识架构”难掩现实风险
尽管LastPass采用“零知识架构”,服务器不存储用户主密码,理论上黑客无法直接解密数据,但攻击者已获取加密密码库文件,可借助GPU进行离线暴力破解。若用户主密码过短或过于简单,其全部账号密码仍面临被完全破译风险;已有研究人员指出部分加密货币盗窃案与此类弱密码库泄露存在关联。
监管警示:远程办公安全亟待加强
LastPass表示虽对处罚结果感到失望,但已积极配合调查并显著强化安全架构。ICO专员John Edwards强调:“用户有理由期待密码管理器提供最高级别数据保护,而LastPass未能履行这一基本义务。”该案例也被ICO用以警示所有企业须重新审视远程办公风险与终端设备安全策略。
