5 月 30 日消息,密碼管理工具 LastPass 正面臨用戶集體訴訟,該公司此前連續遭到三次黑客入侵。大量用戶數據遭到泄露,導致這些用戶面臨身份盜竊、信用卡盜刷等人身威脅。
IT 之家曾在去年 8 月、去年12 月及今年 2 月都報道過這家公司受到了黑客攻擊。
在去年 8 月時,LastPass 公司的一名員工賬號被黑客入侵,進而導致部分內部軟件及技術信息外流,最終導致了包含“用戶公司名稱”、“郵件地址”、“IP 信息”、“家庭住址”、“密碼”的存儲庫(Vault)遭到非法復制;
(資料圖片僅供參考)
去年 12 月時,黑客入侵了 LastPass 公司的第三方存儲服務器,獲得了部分客戶的關鍵信息。
而今年 2 月時,黑客從高級 DevOps 工程師處竊取有效憑證再一次獲取了存儲庫信息,并通過共享數據訪問了用戶的云存儲環境。
▲圖源 LastPass
LastPass 公司在今年 1 月與 4 月都遭到了用戶的集體訴訟,今年 4 月時,一位化名為“John Doe”的匿名用戶在馬薩諸塞州地方政府對 LastPass 公司提出集體訴訟,稱“LastPass 公司的數據泄露導致了自己價值 5.3 萬美元的比特幣資產被盜”。
而在今年 1 月時,多名 LastPass 用戶向加州法院控告,他們聲稱“由于 LastPass 公司松散不可靠的安全政策,用戶敏感資料從 2022 年 8 月起就可被未經授權的人士任意讀取”。而在密碼泄露事件幾個月后,LastPass 公司才發布用戶關鍵信息泄露的聲明,并“企圖將責任推給用戶”。
▲圖源 Wladimir Palant 的個人博客
安全專家 Wladimir Palant 分析了 LastPass 的數據泄漏事件,并稱“LastPass 公司的數次密碼外泄事件可能已讓黑客利用數據建立了完整的密碼檔案庫”;另一名安全專家 Jeremi M Gosney 表示“LastPass 公司的存儲庫(Vault)只是名字上聽起來安全,并建議用戶換成其他可靠的密碼管理工具”。
▲圖源 Jeremi M Gosney
關鍵詞:
營業執照公示信息