LastPass 再次遭遇数据泄露：第三方合作伙伴 Klue 成突破口

背景

密码管理巨头 LastPass 再次向用户发出警告，称其个人数据遭到窃取。与以往不同，此次泄露并非直接攻击 LastPass 的核心基础设施，而是通过其外部合作伙伴——市场研究公司 Klue 发生的。

Klue 是一家允许黑客访问客户信息和支持案例数据的市场调研平台。这一事件再次将 LastPass 置于安全争议的风口浪尖，成为其近期一系列安全事件中的最新一起。

核心内容

据 TechCrunch 报道，LastPass 正在向受影响的客户发送电子邮件，告知其数据在 Klue 平台发生的泄露事件中受到波及。LastPass 在博客文章中提供了更多细节，澄清了受影响数据的范围以及公司的应对措施。

受影响的数据范围 LastPass 明确表示，此次泄露的信息仅限于标准的商业联系信息及相关客户关系管理（CRM）数据。具体包括：

• 客户姓名
• 电话号码
• 电子邮件地址
• 物理地址
• 支持案例数据
• 销售相关数据

LastPass 强调，用户的密码保险库（password vaults）未受影响。

公司的应急响应 在得知该事件后，LastPass 采取了以下措施：

1. 撤销了员工对 Klue 平台的访问权限。
2. 轮换（rotated）了被暴露的 API 令牌。
3. 通知了执法部门。
4. 启动了“对事件范围的详细调查”，并与 Klue 和 Salesforce 方面的联系人合作。

LastPass 解释称，Klue 的平台与 Salesforce 和 Gong 系统集成，这可能是攻击者利用的入口点。

安全建议与威胁指标 鉴于泄露的信息可能被用于社会工程学攻击，LastPass 建议客户对利用这些受损信息的潜在网络钓鱼攻击保持高度警惕。

此外，LastPass 公布了与攻击者相关的 IP 地址和电子邮件发件人域名，供企业用户在系统中搜索相关活动：

• IP 地址：
  • 138.226.246[.]94
  • 94.154.32[.]160
  • 159.183.215[.]61
  • 159.183.181[.]239
• 电子邮件发件人域名：
  • baccarat.com[.]au
  • robinskitchen.com[.]au
  • house.com[.]au

历史安全记录 这是 LastPass 近期遭遇的又一安全事件，此前已有过严重的安全事故：

• 2015年： 黑客获取了账户电子邮件地址、密码提示、身份验证哈希值和加密盐值，但 LastPass 当时表示加密的保险库数据未被访问。
• 2022年： 攻击者入侵了一个开发人员账户，窃取了源代码和技术信息。随后，攻击者利用这些信息访问了包含客户记录、加密密码保险库以及未加密详细信息（如姓名、账单地址、电子邮件和电话号码）的云备份。

关键要点

• 泄露源头为第三方： 此次数据泄露并非直接针对 LastPass 服务器，而是通过其合作伙伴 Klue 发生，凸显了供应链和第三方集成带来的安全风险。
• 核心密码数据未泄露： LastPass 确认受影响的仅为 CRM 数据（姓名、电话、邮箱、地址等）和支持案例数据，用户的加密密码保险库依然安全。
• 高度警惕社会工程学攻击： 由于泄露的个人信息（如邮箱、电话、地址）可能被用于精准的网络钓鱼或社会工程学攻击，用户需格外小心可疑邮件和电话。
• 攻击者基础设施已公开： LastPass 提供了具体的恶意 IP 地址和域名，帮助企业和安全研究人员检测内部系统中是否存在相关活动。
• 信任危机加剧： 继 2015 年和 2022 年的重大安全事件后，此次事件进一步削弱了用户对 LastPass 安全性的信任，尤其是在 2022 年事件中曾发生加密数据备份泄露的情况下。

意义与影响

此次事件再次引发了业界对密码管理器安全性的广泛讨论。尽管 LastPass 强调核心加密数据未受影响，但 2022 年的泄露事件曾导致加密保险库备份被盗，这使得用户对“未加密”或“部分泄露”的容忍度极低。

从技术角度看，Klue 与 Salesforce、Gong 的集成表明，现代 SaaS 生态系统的复杂性增加了攻击面。攻击者往往通过攻击防御较弱的第三方合作伙伴来获取对目标企业的访问权限，这种“供应链攻击”模式在当前网络安全环境中日益普遍。

对于 LastPass 而言，连续的安全事件对其品牌声誉造成了沉重打击。用户可能会重新评估其密码管理解决方案，转向声称具有更高安全标准或更透明安全记录的其他服务商。对于企业用户来说，此事件也敲响了警钟：在集成第三方 CRM 和研究工具时，必须严格审查其安全合规性，并监控潜在的 API 令牌泄露风险。