英国信息专员办公室(ICO)对LastPass UK处以120万英镑罚款,此前该公司发生的数据泄露事件影响了160万人。
根据英国数据保护监管机构的调查,这家密码管理公司未能实施足够健全的技术和安全措施,导致黑客得以入侵其备份数据库。
由此引发了两起发生在2022年8月的事件。在第一起事件中,黑客获取了一名LastPass员工的公司笔记本电脑,并随后访问了公司的开发环境。
尽管攻击者未能成功窃取个人信息,但他们确实窃取了加密的公司凭证。LastPass当时认为加密密钥仍然安全,因为它们存储在黑客无法访问的公司网络某处。
随后,威胁行为者盯上了一名拥有解密密钥权限的高级员工。他们通过第三方流媒体服务的已知漏洞,成功访问了该员工的个人设备。为获取该员工的公司凭证,攻击者安装了键盘记录程序,并通过使用受信任设备Cookie绕过了多重身份验证。
获得员工的”主密码”后,黑客得以访问该员工的个人和商业LastPass保管库,其中包含亚马逊网络服务访问密钥和解密密钥。结合所收集的所有信息,攻击者最终提取了备份数据库的内容,该库包含160万人的个人信息,涵盖姓名、电子邮件、电话号码及存储的网站URL等。
ICO调查发现,由于LastPass的”零知识”加密系统,没有证据表明加密密码和其他凭证能被黑客解密。这意味着访问密码管理器保管库的主密码仅存储在员工的本地设备中,从未与LastPass共享。
针对这些事件及数据泄露造成的影响,ICO对LastPass处以120万英镑罚款。
英国信息专员约翰·爱德华兹在声明中表示:”LastPass用户有权期待其委托给公司的个人信息得到安全保护。然而,该公司未能达到这一预期,因此今天我们宣布了相应比例的罚款。”
消息来源:cybernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容