科技TechCrunch··AI 生成
LastPass 称黑客在 Klue 入侵期间窃取了客户支持案例数据
密码管理器 LastPass 再次遭遇数据泄露,黑客利用其第三方市场调研公司 Klue 的漏洞,窃取了客户姓名、电话、地址及客户支持工单数据。这是继 2022 年客户密码库被整体窃取后,该公司又一次重大安全事件,且受害者名单包括 HackerOne、Recorded Future 等多家网络安全公司,凸显供应链攻击的连锁效应。文章核心价值在于揭示:即使公司自身系统未被攻破,关联第三方的脆弱性也能造成严重信息泄露,客户支持工单中可能包含密码、身份证明等敏感碎片。适合关注企业安全、供应链风险管理、SaaS 产品责任的读者。原文 ↗原文 ↗
核心观点
- ▍LastPass 的最新数据泄露并非自身系统被攻破,而是源于第三方供应商 Klue 的安全漏洞,这再次暴露了 SaaS 供应链的薄弱环节。
- 01泄露的数据包括客户姓名、电话号码、电子邮件地址、实际地址,以及客户支持案例数据和销售相关数据。
- 02HackerOne、Recorded Future 和 Tanium 等其他多家网络安全公司也因 Klue 的漏洞而面临数据泄露。
- 03一个名为 Icarus 的黑客和勒索组织声称对此次入侵负责,并公开威胁称如果不支付赎金将泄露被盗数据。
- 04LastPass 表示其自身基础设施和客户的密码库未受影响。
- 05客户支持工单的内容很可能包含潜在的敏感信息片段,如凭证和政府颁发的身份证明文件,这在过去其他公司的类似事件中已有先例。
- 062022 年,LastPass 曾发生重大数据泄露,黑客窃取了客户密码库,随后被用于离线破解弱主密码,并与多起加密货币盗窃案有关。
反方 / 局限
- — 文章未提供受影响的客户数量,LastPass 的发言人未对 TechCrunch 的置评请求做出回应,关键信息(如工单具体内容、影响范围)缺失。
前置背景
平行视角
未来推演
延伸追问