英国信息专员办公室 (ICO) 对 LastPass UK Ltd 处以 120 万英镑的罚款,原因是该公司未能实施足够的安全措施,导致 2022 年发生重大数据泄露事件,泄露了多达 160 万英国客户的个人信息。
尽管由于 LastPass 的零知识加密设计,存储在 LastPass 保险库中的密码没有泄露,但攻击者仍然能够访问敏感元数据,包括姓名、电子邮件地址、电话号码和存储网站的 URL。
英国信息专员办公室 ( ICO ) 的调查结论是,此次数据泄露源于两起相互关联的安全事件。第一起事件发生在 2022 年 8 月,当时一名黑客利用漏洞入侵了 LastPass 欧洲一位开发人员的公司笔记本电脑。这一初始突破使攻击者得以提取与公司开发环境相关的加密凭证。
尽管 LastPass 采取了缓解措施,但攻击者仍通过入侵美国一名高级员工的个人设备扩大了访问权限。该员工拥有存储在其保险库中的解密密钥的访问权限。攻击者利用第三方流媒体应用程序中的已知漏洞,在受害者设备上植入了键盘记录器,绕过了通过先前受信任的 cookie 进行的多重身份验证,并窃取了连接个人和企业保险库的主密码。
此次权限提升使攻击者能够获取访问 LastPass 备份存储所需的亚马逊网络服务 (AWS) 凭证和加密密钥。因此,攻击者窃取了大量客户信息,但加密的密码库本身仍然受到保护。
LastPass是全球使用最广泛的密码管理器之一,据报道拥有超过3000万个人用户和8.5万多家企业客户。该服务以其零知识加密技术而闻名,这意味着即使是LastPass员工也无法访问用户密码库的内容,而且主密码永远不会存储在公司服务器上。
然而,ICO的裁决表明,在保护存储加密数据的系统访问权限方面存在重大缺陷。英国信息专员约翰·爱德华兹表示:"密码管理器是宝贵的工具,但它们需要最高级别的内部安全保障。"他还补充说,处理此类数据的公司必须"紧急审查其系统和流程"。
2023年初,该公司面临一起美国集体诉讼,指控其在处理数据泄露事件中存在疏忽,并指责该公司误导用户,隐瞒事件的严重程度。该案原告称,其存储在被入侵保险库中的私钥被盗,并声称损失超过5万美元。诉讼还批评LastPass未能立即披露数据泄露的严重程度,将关键信息延迟至2022年12月才公布。
更新:
本文发表后,LastPass 提供了以下声明:
自2022年首次向英国信息专员办公室(ICO)报告此事件以来,我们一直与其保持合作。虽然我们对最终结果感到失望,但欣慰的是,ICO的决定认可了我们为进一步加强平台建设和提升数据安全措施所做的诸多努力。我们将继续致力于为10万家企业和数百万个人消费者提供最佳服务,他们始终依赖LastPass。