密码管理工具开发商LastPass正在向客户发出通知,告知其个人信息及客户支持工单数据已在近期一起针对其技术合作伙伴的黑客攻击事件中遭窃,这也是该公司近年来经历的又一次数据泄露事件。
从一名受影响用户提供给TechCrunch的邮件内容来看,LastPass表示此次泄露事件发生在市场调研公司Klue一侧,而非LastPass自身系统。然而,黑客利用其获取的访问权限,大量窃取了有关LastPass客户的数据。
LastPass是因Klue遭受黑客攻击而报告数据被盗的网络安全公司之一,目前受波及的公司名单持续扩大。Klue已于上周披露了这一事件,此外,HackerOne、Recorded Future和Tanium等公司也相继确认受到影响。
LastPass在一篇博客文章中披露了此次事件的相关信息,称黑客获取了客户的姓名、电话号码、电子邮件地址、实际地址,以及客户支持工单数据和销售相关数据。
LastPass表示,公司自身基础设施未受影响,客户的密码保险库数据同样安全。
目前尚不清楚客户支持工单中具体包含哪些内容,但这类工单通常可能涉及部分私密或敏感信息。客户在遇到账单问题或需要找回账户访问权限时,往往会联系客服,而此前类似事件中曾出现过账户凭证及政府颁发的身份证件等信息外泄的情况。
LastPass的发言人未立即回复TechCrunch的置评请求,也未就此次事件做出任何说明,包括受影响的客户数量等问题。
根据LastPass官网显示,截至2024年,该公司拥有超过3300万用户及约160万付费用户。
LastPass此前曾于2022年遭遇重大数据泄露事件,黑客盗取了公司所有客户的密码保险库数据,其中存储有密码、Token及信用卡号码等敏感信息。尽管这些保险库均以仅客户本人知晓的主密码加密,但此次泄露使黑客得以通过暴力破解手段,离线破解那些使用较弱主密码保护的保险库,进而获取其中的敏感内容。此后多起加密货币盗窃事件被怀疑与此次LastPass泄露事件有关,黑客疑似通过破解密码保险库获取了受害者的钱包密钥。
Klue首席执行官杰森·史密斯在一篇博客文章中表示,公司于6月12日发现黑客入侵其系统。一个名为Icarus的黑客勒索组织宣称对此次攻击负责,并公开威胁称,若赎金未能到位,将公开所窃取的数据。
史密斯至今未回复TechCrunch就此次事件发出的询问邮件,包括受影响客户数量以及公司是否已与黑客进行沟通等问题。
Q&A
Q1:LastPass此次数据泄露具体泄露了哪些用户信息?
A:根据LastPass官方披露,此次泄露的数据包括客户姓名、电话号码、电子邮件地址、实际地址,以及客户支持工单数据和销售相关数据。LastPass表示,公司自身基础设施未受波及,客户的密码保险库数据也未受到影响。但客户支持工单中可能包含账单信息或账户访问相关的敏感内容,具体内容目前尚未完全披露。
Q2:Klue是什么公司,为什么会导致LastPass的数据泄露?
A:Klue是一家市场调研公司,是LastPass的技术合作伙伴。黑客于2024年6月12日入侵Klue的系统,并借助所获得的访问权限窃取了包括LastPass在内的多家客户公司的数据。此次事件并非LastPass自身系统被攻破,而是通过供应链合作伙伴的安全漏洞导致数据外泄,HackerOne、Recorded Future、Tanium等公司同样受到波及。
Q3:LastPass 2022年的数据泄露和这次有什么不同?
A:2022年的泄露事件性质更为严重,黑客直接入侵了LastPass自身系统,盗取了全部客户的密码保险库数据,并被怀疑与此后多起加密货币盗窃案有关。此次2024年的泄露发生在第三方合作伙伴Klue一侧,LastPass自身系统及密码保险库数据未受影响,泄露内容主要为客户基本信息及支持工单数据,整体危害程度相对较低。
好文章,需要你的鼓励
美国最高法院以6比3的投票结果,裁定手机位置信息受第四修正案隐私权保护。法院认为,用户在使用谷歌等科技公司服务时,并非主动共享位置数据,因此执法机构在申请地理围栏搜查令时,必须证明存在"合理犯罪嫌疑"并获得法院批准。此裁决虽未完全禁止地理围栏搜查令,但对其使用范围加以限制,对美国执法实践及隐私保护具有深远影响。
南加州大学团队发现语音抑郁检测领域存在数据漏洞,并提出CLeaD跨语言对比对齐框架,揭示模型规模越大跨语言性能越差的反直觉规律。
佛罗里达州男子Angelo Martino以网络安全公司勒索软件谈判员身份为掩护,与黑客合谋部署BlackCat勒索软件攻击美国企业,被判处逾五年有期徒刑。美国司法部同时没收其逾1000万美元加密货币及资产。Martino与Kevin Martin、Ryan Goldberg三人于2023年联手实施多起攻击,其中一次成功勒索约120万美元后三人平分。BlackCat曾于2024年2月入侵医疗巨头Change Healthcare,导致逾1.92亿人敏感数据外泄。
KAIST等机构提出3D HAMSTER,通过为视觉语言模型加入深度编码器和几何重建损失,让机器人规划器直接输出三维轨迹,解决了分层机器人系统中规划与执行的维度不匹配问题,显著提升了操作鲁棒性。