导致160万英国用户数据被盗 密码管理器LastPass被罚120万英镑

主要观点总结

英国信息专员办公室对LastPass处以120万英镑的罚款，因为LastPass在2022年发生了两起数据泄露事件。这些事件导致黑客成功窃取了大量英国用户的个人数据，包括姓名、电子邮件、电话号码和加密密码库备份。此次入侵路径具有针对性且层层递进，攻击者通过渗透高级员工家用设备上的流媒体软件Plex，成功获取了公司云存储中的客户数据。

关键观点总结

关键观点1: LastPass未能采取有效安全措施导致数据泄露

LastPass在2022年发生了两起数据泄露事件，未能落实足够的安全防护措施，导致黑客成功窃取了大量用户数据。

关键观点2: 攻击者通过渗透高级员工获取数据

攻击者锁定了持有密钥的高级员工之一，利用该员工家用设备上的流媒体软件Plex的漏洞实施渗透，最终获取了公司云存储中的客户数据。

关键观点3: 安全隐患依然严峻，加密货币盗窃案与泄露有关

虽然LastPass采用“零知识架构”，但攻击者已掌握加密的密码库文件，可以利用GPU算力进行离线暴力破解。部分加密货币盗窃案与此次泄露的弱密码库有关。

关键观点4: LastPass积极配合调查并加强安全架构

针对此次处罚，LastPass表示已积极配合调查并显著加强了安全架构。ICO借此案例警告所有企业重新审查远程办公风险和设备安全策略。