11月30日，密碼管理工具 LastPass首席執(zhí)行官 Karim Toubba公開承認，通過一個新的漏洞，黑客訪問了 LastPass 的第三方云存儲服務器，并獲得了部分客戶的關(guān)鍵信息。但具體有多少客戶因此受到影響，以及黑客竊取了哪些敏感信息暫時未公布。

在Last Pass公開承認這一數(shù)據(jù)泄露事件后，該公司進一步強調(diào)“由于LastPass采取了先進的零信任架構(gòu)體系，因此客戶的密碼仍然被安全加密?！?/p>

但是這個保證似乎并沒有讓客戶滿意。畢竟在2022年8月，LastPass 還曾公開承認，有黑客曾進入過 LastPass 的內(nèi)部系統(tǒng)，并竊取了部分源代碼和敏感數(shù)據(jù)。僅僅三個月后，LastPass 就在一次出現(xiàn)如此嚴重的數(shù)據(jù)泄露事件。

公開信息顯示，LastPass是一個在線密碼管理器和頁面過濾器，采用了強大的加密算法，自動登錄/云同步/跨平臺/支持多款瀏覽器。該公司聲稱其產(chǎn)品有超過10萬家企業(yè)、3300萬人員正在使用，是全球最大的在線密碼管理軟件。

值得一提的是，11月發(fā)生的數(shù)據(jù)泄露事件和8月發(fā)生的源代碼泄露存在關(guān)聯(lián)，根據(jù)LastPass 首席執(zhí)行官 Karim Toubba的說法，黑客利用了“8月事件中獲得的信息" ，從而獲得了對用戶數(shù)據(jù)的訪問。

LastPass 表示，目前公司已經(jīng)聘請專業(yè)網(wǎng)絡(luò)安全公司Mandiant調(diào)查此事件，并將此次攻擊的情況和執(zhí)法部門進行了匯報。

近幾年，LastPass 頻頻傳出數(shù)據(jù)、密碼泄露丑聞。2021年年底，許多LastPass用戶在收到LastPass登錄電子郵件警告，郵件告知他們的主密碼已被泄露，有人試圖從未知位置登錄他們的帳戶。事后，LastPass 回應異常登錄稱，暫無證據(jù)表明數(shù)據(jù)泄露，但用戶并不買賬，并對LastPass的安全性提出了質(zhì)疑。

Lastpass母公司GoTo也遭受影響

由于第三方云存儲服務由LastPass及其母公司GoTo（原名LogMeIn）共享，因此此次攻擊事件也影響了GoTo的開發(fā)環(huán)境和第三方云存儲服務，并泄露了相應的數(shù)據(jù)。

GoTo表示，該攻擊事件并未影響他們的產(chǎn)品和服務，并且它們?nèi)匀豢梢哉＿\行。為了更好地確保安全，GoTo公司稱在襲擊發(fā)生后部署了“增強的安全措施和監(jiān)控能力”。

有國外媒體向 GoTo 詢問事件發(fā)生的具體信息及相關(guān)后果，例如攻擊發(fā)生的時間或源代碼是否被盜，但尚未得到回復。

https://www.bleepingcomputer.com/news/security/lastpass-says-hackers-accessed-customer-data-in-new-breach/