今亮點(diǎn)！因多次數(shù)據(jù)泄露，LastPass 密碼管理軟件面臨用戶集體訴訟

2023-05-30 10:38:57|

來源：IT之家作者：

(資料圖)

IT之家 5 月 30 日消息，密碼管理工具 LastPass 正面臨用戶集體訴訟，該公司此前連續(xù)遭到三次黑客入侵。大量用戶數(shù)據(jù)遭到泄露，導(dǎo)致這些用戶面臨身份盜竊、信用卡盜刷等人身威脅。

IT 之家曾在去年 8 月、去年 12 月及今年 2 月都報(bào)道過這家公司受到了黑客攻擊。

在去年 8 月時(shí)，LastPass 公司的一名員工賬號(hào)被黑客入侵，進(jìn)而導(dǎo)致部分內(nèi)部軟件及技術(shù)信息外流，最終導(dǎo)致了包含“用戶公司名稱”、“郵件地址”、“IP 信息”、“家庭住址”、“密碼”的存儲(chǔ)庫(kù)（Vault）遭到非法復(fù)制；

去年 12 月時(shí)，黑客入侵了 LastPass 公司的第三方存儲(chǔ)服務(wù)器，獲得了部分客戶的關(guān)鍵信息；

而今年 2 月時(shí)，黑客從高級(jí) DevOps 工程師處竊取有效憑證再一次獲取了存儲(chǔ)庫(kù)信息，并通過共享數(shù)據(jù)訪問了用戶的云存儲(chǔ)環(huán)境。

▲ 圖源 LastPass

LastPass 公司在今年 1 月與 4 月都遭到了用戶的集體訴訟，今年 4 月時(shí)，一位化名為“John Doe”的匿名用戶在馬薩諸塞州地方政府對(duì) LastPass 公司提出集體訴訟，稱“LastPass 公司的數(shù)據(jù)泄露導(dǎo)致了自己價(jià)值 5.3 萬美元的比特幣資產(chǎn)被盜”。

而在今年 1 月時(shí)，多名 LastPass 用戶向加州法院控告，他們聲稱“由于 LastPass 公司松散不可靠的安全政策，用戶敏感資料從 2022 年 8 月起就可被未經(jīng)授權(quán)的人士任意讀取”。而在密碼泄露事件幾個(gè)月后，LastPass 公司才發(fā)布用戶關(guān)鍵信息泄露的聲明，并“企圖將責(zé)任推給用戶”。

▲ 圖源 Wladimir Palant 的個(gè)人博客

安全專家 Wladimir Palant 分析了 LastPass 的數(shù)據(jù)泄漏事件，并稱“LastPass 公司的數(shù)次密碼外泄事件可能已讓黑客利用數(shù)據(jù)建立了完整的密碼檔案庫(kù)”；另一名安全專家 Jeremi M Gosney 表示“LastPass 公司的存儲(chǔ)庫(kù)（Vault）只是名字上聽起來安全，并建議用戶換成其他可靠的密碼管理工具”。

▲ 圖源 Jeremi M Gosney

標(biāo)簽：