LastPass数据泄露是如何发生的以及如何避免？

2022-2023年的LastPass数据泄露事件提醒我们，复杂的网络攻击是如何演变成长期的安全灾难的。这份综合分析剖析了该事件、其影响以及寻求加强安全状况的企业需要吸取的重要教训。

影响：数据一览#

此次泄露的后果严重且影响深远：

• 受影响用户达3300万
• 25名以上的受害者被盗走440万美元
• 据报道，一周内被盗500万美元
• 被盗的加密货币价值达1500万美元

核心要点#

• 一个受损的开发者账户导致了影响3300万LastPass用户的泄露事件
• 攻击者获取了对加密密码保管库和客户信息的访问权限
• 与此次泄露相关的加密货币盗窃案涉及金额超过1500万美元
• 该事件暴露了远程工作安全和事件响应方面的严重漏洞

初始入侵 - 2022年8月#

泄露事件始于攻击者通过一个受损的开发者账户未经授权访问了LastPass的开发环境。在这一阶段，攻击者获取了：

• LastPass的部分源代码
• 专有技术信息
• 访问开发环境资源的权限

态势升级 - 2022年11月/12月#

原本看似受控的局面迅速升级，攻击者利用窃取的信息执行了以下操作：

• 访问LastPass的第三方云存储服务
• 获取客户保管库数据的备份副本
• 攻陷未加密的客户账户信息

关键进展 - 2023年3月#

在一次披露更新中，LastPass公布攻击者已经：

• 入侵了一名高级DevOps工程师的家用电脑
• 利用第三方媒体软件的漏洞
• 部署了键盘记录器恶意软件以捕获主密码
• 获得了对关键解密密钥的访问权限

哪些数据遭到泄露？#

客户信息#

• 公司名称
• 最终用户姓名
• 账单地址
• 电子邮件地址
• 电话号码
• IP地址

技术数据#

• 客户保管库备份
• DevOps机密
• 基于云的备份存储
• MFA/联邦数据库备份

企业需吸取的重要安全教训#

1. 实施稳健的网络分段#

• 隔离关键系统和数据
• 创建具有不同访问级别的安全区域
• 在不同网段之间实施严格的访问控制
• 监控网段之间的流量

2. 强化远程工作安全#

• 针对居家办公设备制定明确的策略
• 限制在工作设备上安装个人软件
• 实施强大的端点保护
• 定期对远程工作设置进行安全审计

3. 改善事件响应与沟通#

• 制定清晰的事件响应程序
• 与利益相关者保持透明的沟通
• 及时记录并更新安全事件
• 在持续进行的事件中提供定期更新

4. 增强密码和访问管理#

• 在所有系统中实施多因素身份验证
• 要求为每个账户设置强且唯一的密码
• 定期进行密码轮换和安全审计
• 使用具有强大安全功能的密码管理器

企业的预防措施#

1. 技术控制#

• 实施零信任架构
• 部署高级端点保护
• 定期进行安全评估和渗透测试
• 持续监控和记录日志

2. 管理控制#

• 定期为员工提供安全培训
• 制定明确的安全政策和程序
• 供应商风险管理
• 事件响应规划

结论#

LastPass数据泄露事件为全面安全措施和适当事件响应的重要性上了重要一课。企业必须采取主动的安全措施，实施多层保护，同时为潜在的泄露事件做好准备。通过从此次事件中吸取教训，企业可以更好地保护其资产并维护客户的信任。

关于 Corbado

Corbado 是面向大规模运行 consumer 身份验证的 CIAM 团队的Passkey Intelligence Platform。我们让你看到 IDP 日志和通用 analytics 工具看不到的内容：哪些设备、操作系统版本、浏览器和 credential manager 支持 passkey，为什么注册没有转化为登录，WebAuthn 流程在哪里失败，以及什么时候操作系统或浏览器更新会悄悄破坏登录 — 而且无需替换 Okta、Auth0、Ping、Cognito 或你自有的 IDP。两款产品：Corbado Observe 提供 针对 passkey 及任何其他登录方式的 observability。Corbado Connect 提供 内置 analytics 的 managed passkey（与你的 IDP 并存）。VicRoads 通过 Corbado 为 500 万以上用户运行 passkey（passkey 激活率 +80%）。 与 Passkey 专家交谈 →

常见问题解答#

在LastPass泄露事件中，攻击者是如何从开发者账户升级到访问客户保管库的？#

攻击者利用2022年8月从LastPass开发环境中窃取的源代码和技术信息，访问了存储客户保管库备份的第三方云存储服务。在2023年初全面披露之前，这种多阶段升级已经历了数月的时间。

为什么在泄露发生后，LastPass的加密保管库仍被认为处于危险之中？#

攻击者通过在一名高级DevOps工程师的家用电脑上部署键盘记录器，不仅获得了加密的保管库备份，更关键的是获取了用于解密的密钥。同时捕获主密码和解密密钥意味着仅靠加密无法完全保护客户数据。

哪些针对远程工作的安全失误加剧了LastPass的泄露事件？#

一名高级DevOps工程师的个人家用电脑因第三方媒体软件的漏洞而被入侵，而针对远程工作设备的强大端点保护策略本应防范此类风险。限制个人软件安装和强制对家庭办公设置进行安全审计是关键的缓解措施。

在2022至2023年的LastPass泄露事件中，具体有哪些类型的数据被曝光？#

暴露的数据分为两类：客户信息（包括姓名、账单地址、电子邮件地址、电话号码和IP地址），以及技术数据（涵盖客户保管库备份、DevOps机密、基于云的备份存储和MFA/联邦数据库备份）。这种个人信息和基础设施数据的双重泄露，使得此次事件造成的破坏尤为严重。