这周,密码管理器LastPass又出事了。一家叫Klue的第三方供应商出现安全漏洞,黑客顺着这条缝钻进来,偷走了一批LastPass客户数据。

Klue是LastPass内部用的一款市场情报工具,平时拿来追踪竞品动向、管理销售关系。根据LastPass的说法,有个未经授权的家伙搞到了Klue替客户保管的OAuth令牌(一种无需密码就能访问账户的授权凭证),随后用它闯进了LastPass的Salesforce环境,把客户数据翻了个遍。

打开网易新闻 查看精彩图片

被扒走的信息倒不算要命——姓名、电话号码、电邮地址、实体地址,再加上些销售相关的记录。密码库毫发无损,核心产品也没受影响,用户的那些登录凭据还好端端锁在保险箱里。LastPass在这个问题上语气很坚决。

这波攻击不止冲着LastPass来的。据BleepingComputer报道,一个新冒出来的勒索团伙自称伊卡洛斯,公开宣称对这起攻击负责,说这是一场针对Klue多家客户的大范围行动。网络安全公司Huntress和ReliaQuest的调查还原了攻击路径:攻击者利用一套已泄露的老凭证拿到了OAuth令牌,然后用Python脚本去调Salesforce的API接口,对一大批组织进行了大规模数据窃取。已确认的中招公司包括威胁情报公司Recorded Future、设备管理平台Tanium、苹果设备管理方案商Jamf、社交媒体管理工具Sprout Social,以及销售洞察平台Gong等。

伊卡洛斯这帮人现在正给受害企业施压,要求对方通过Session这款加密即时通讯工具跟他们联系,不然就把偷来的数据公开。

LastPass这边的动作是:撤销了Klue的访问权限,通知了执法部门,还通过内部威胁情报团队跟更广泛的安全圈子通了气。

公司提醒用户提防钓鱼和社交工程攻击——毕竟联系人信息已经流出去了,有心人完全可以拿这些数据编造可信的骗局。LastPass不忘补一句:我们永远不会跟你要主密码。