密碼管理服務商 LastPass 再度遭遇數據安全事件。今次事故源於第三方供應商 Klue 遭受供應鏈攻擊,導致客戶聯絡資訊及支援記錄被竊取,但加密保險庫及儲存憑證未有受影響。未經授權的攻擊者利用從 Klue 竊取的 OAuth 權杖,存取 LastPass 的 Salesforce 環境,暴露客戶姓名、電話號碼及支援記錄等敏感資料。Klue 在 6 月 22 日披露,入侵者透過一組與整合服務相關的舊憑證取得權限,並盜取用於連接 Klue 與第三方平台(包括 Salesforce)的 OAuth 權杖。調查發現該等權杖被用來存取連接客戶環境中的數據,涵蓋姓名、電話號碼、電郵地址、實體地址、支援個案資料及銷售 CRM 資訊。
重點文章
與2022年洩漏事件不同
本次事故僅限於與 Klue 整合的系統,並未影響 LastPass 產品、基礎設施或服務,因此與 2022 年的嚴重洩漏事件性質不同。2022 年攻擊者先入侵開發環境,再擴展至雲端儲存資源,最終竊取客戶帳戶資訊及加密保險庫備份,包括姓名、帳單地址、電郵、電話、IP 地址、網站 URL 及加密保險庫內容。2015 年 LastPass 亦曾發生安全事件,當時電郵地址、密碼提示、用戶鹽值及認證雜湊被竊,但加密保險庫數據未被取走。今次 Klue 事件是 LastPass 客戶資訊連串洩漏的最新一宗。
外洩數據可助長釣魚攻擊
雖然 Klue 事故未有直接增加密碼被盜風險,但遭外洩的客戶聯絡資訊及支援記錄,足以令釣魚及社交工程攻擊更具說服力。攻擊者可利用電郵、電話及過往支援互動等細節,偽裝成合法聯絡,提高誘騙目標交出憑證或其他敏感資料的機會。LastPass 呼籲客戶對未經要求的通訊保持警覺,並重申員工絕不會要求提供主密碼。兩家公司已採取應對措施:LastPass 輪換受影響存取權杖、停用員工對 Klue 的存取權限、展開調查並通知執法機關;Klue 則撤銷受影響憑證及權杖、移除未經授權程式碼,並停用受影響整合。目前尚未有威脅組織承認責任。
用戶防範建議
鑑於客戶聯絡資料及支援記錄可能已外洩,釣魚及社交工程攻擊的風險高於密碼直接被盜。用戶應對聲稱來自 LastPass 或其他可信公司的未預期電郵、短訊或來電保持警惕,避免點擊未經要求訊息中的連結,並直接透過官方網站驗證帳戶相關請求。LastPass 重申員工絕不會要求提供主密碼,任何收到此類要求的人應視為可疑並透過官方支援渠道舉報。啟用多重驗證、使用獨特密碼及密碼金鑰(passkeys)亦有助減低釣魚攻擊及帳戶被盜的影響。
