5 月 30 日消息,密碼管理工具 LastPass 正面臨用戶集體訴訟,該公司此前連續(xù)遭到三次黑客入侵。大量用戶數(shù)據(jù)遭到泄露,導致這些用戶面臨身份盜竊、信用卡盜刷等人身威脅。
IT 之家曾在去年 8 月、去年12 月及今年 2 月都報道過這家公司受到了黑客攻擊。
在去年 8 月時,LastPass 公司的一名員工賬號被黑客入侵,進而導致部分內(nèi)部軟件及技術信息外流,最終導致了包含“用戶公司名稱”、“郵件地址”、“IP 信息”、“家庭住址”、“密碼”的存儲庫(Vault)遭到非法復制;
(資料圖片僅供參考)
去年 12 月時,黑客入侵了 LastPass 公司的第三方存儲服務器,獲得了部分客戶的關鍵信息。
而今年 2 月時,黑客從高級 DevOps 工程師處竊取有效憑證再一次獲取了存儲庫信息,并通過共享數(shù)據(jù)訪問了用戶的云存儲環(huán)境。
▲圖源 LastPass
LastPass 公司在今年 1 月與 4 月都遭到了用戶的集體訴訟,今年 4 月時,一位化名為“John Doe”的匿名用戶在馬薩諸塞州地方政府對 LastPass 公司提出集體訴訟,稱“LastPass 公司的數(shù)據(jù)泄露導致了自己價值 5.3 萬美元的比特幣資產(chǎn)被盜”。
而在今年 1 月時,多名 LastPass 用戶向加州法院控告,他們聲稱“由于 LastPass 公司松散不可靠的安全政策,用戶敏感資料從 2022 年 8 月起就可被未經(jīng)授權的人士任意讀取”。而在密碼泄露事件幾個月后,LastPass 公司才發(fā)布用戶關鍵信息泄露的聲明,并“企圖將責任推給用戶”。
▲圖源 Wladimir Palant 的個人博客
安全專家 Wladimir Palant 分析了 LastPass 的數(shù)據(jù)泄漏事件,并稱“LastPass 公司的數(shù)次密碼外泄事件可能已讓黑客利用數(shù)據(jù)建立了完整的密碼檔案庫”;另一名安全專家 Jeremi M Gosney 表示“LastPass 公司的存儲庫(Vault)只是名字上聽起來安全,并建議用戶換成其他可靠的密碼管理工具”。
▲圖源 Jeremi M Gosney
關鍵詞:
營業(yè)執(zhí)照公示信息