LastPass 又泄露客户数据，供应链攻击再敲警钟

密码管理器 LastPass 通知客户，其客户个人信息和客服工单记录在合作伙伴 Klue 最近遭黑客入侵时被窃取。

发生了什么

6 月 12 日，市场情报平台 Klue 发现系统遭入侵。Klue 是 LastPass 的合作伙伴，两家系统之间通过 OAuth tokens 连接 Salesforce CRM 环境。攻击者拿到这些 tokens 后，直接访问了 LastPass 在 Salesforce 中的客户数据。

被盗数据包括：客户姓名、电话号码、邮箱地址、物理地址、客服工单记录，以及销售相关的 CRM 数据。LastPass 说自家基础设施没有受到直接影响，客户的加密密码库也未被访问。

一个名为 Icarus 的黑客组织认领了这次攻击，要求受影响公司支付赎金，否则公开数据。LastPass 没有透露受影响客户的具体数量，但截至 2024 年的公开数据，该公司拥有超过 3300 万用户和约 100 万付费客户。

供应链攻击的放大效应

这次攻击是典型的供应链渗透。攻击者没有直接入侵 LastPass，而是选择了安全防护相对薄弱的第三方合作伙伴。Klue 的业务模式需要深度集成客户的 Salesforce 系统，因此持有大量 OAuth tokens。攻下一个 Klue，等于拿到了数十家企业的 CRM 访问权限。

受影响的远不止 LastPass。安全公司 HackerOne、Recorded Future、Tanium、Jamf、Snyk、OneTrust、Sprout Social、Huntress 都确认在此次事件中受到影响。

Klue 怎么被攻破的

根据 Klue CEO Jason Smith 的说明，攻击者通过一个集成服务的遗留凭据（legacy credential）获得初始访问权限。取得入口后，获取了连接 Salesforce 等第三方平台的 OAuth tokens，随后用 Python 脚本大规模调取 CRM 数据。安全公司 ReliaQuest 观察到攻击者长时间运行脚本批量查询 Salesforce API。

LastPass 的安全纪录

这已经是 LastPass 近几年第二次重大数据泄露。2022 年，攻击者直接入侵 LastPass 内部系统，窃取了全部客户密码库的加密备份。密码库用客户的主密码加密，但弱主密码可被离线暴力破解。后续确认多起加密货币盗窃与此次泄露有关，损失超过 1.5 亿美元。

那次事件严重打击了 LastPass 的信誉，大量用户转向竞争对手。这次虽是合作伙伴被黑，但客户个人信息和客服工单内容同样敏感，工单中经常包含账户问题上下文、安全讨论和用户提供的身份材料。

建议

LastPass 已吊销泄露的 OAuth tokens。收到通知的用户应对利用被盗个人信息进行的钓鱼攻击保持警惕。曾联系 LastPass 客服并提供敏感信息（身份证件、安全问题答案等）的用户，应将这些信息视为已泄露，尽快修改相关密码和安全问题。

来源：TechCrunch · BleepingComputer · The Next Web