LastPass已确认又一起数据泄露事件,此次是通过一家受感染的第三方服务提供商。攻击者利用从市场情报平台Klue窃取的OAuth令牌,访问了LastPass的Salesforce环境并提取了客户联系信息。
此次泄露是该密码管理器困扰不断的安全历史中的最新一起,该公司曾在2022年遭遇重大事件导致加密保险库暴露,此后还面临监管罚款。
事件经过
名为Icarus的勒索团伙于2026年6月12日左右入侵了Klue的后端系统,推送了恶意代码更新以窃取OAuth令牌。攻击者利用这些令牌查询Salesforce环境,复制了属于LastPass及其他Klue客户的CRM数据。
LastPass表示,暴露的数据包括客户姓名、电话号码、电子邮件地址、实际地址、支持案例记录和销售相关信息。该公司强调,LastPass的产品、服务、基础设施和客户密码保险库未受影响。主密码和加密保险库内容仍然安全。
Klue于6月12日通知了客户有关未经授权活动的情况。在Salesforce于6月17日禁用Klue Battlecards集成后,LastPass于6月23日发布了披露声明,并已轮换暴露的令牌、停止员工对Klue的访问,并通知了执法部门。
需要注意的事项
暴露的联系信息带来了钓鱼和社会工程学攻击风险。攻击者可以利用CRM记录精心制作看似来自LastPass的可信消息。该公司重申,其员工绝不会索要主密码。
Klue事件凸显了一个日益严重的漏洞:旨在让应用程序无缝共享数据的OAuth令牌,在持有这些令牌的第三方服务遭到入侵时,会成为攻击向量。安全研究人员建议企业检查哪些应用程序可以访问CRM数据,撤销未使用的连接,在供应商事件发生后立即轮换令牌,并监控API活动以发现异常的数据导出。
本周其他安全新闻
美国前国家安全顾问约翰·博尔顿于6月26日对一项非法持有机密信息的指控认罪,从而解决了18项起诉。根据认罪协议,博尔顿面临约200万美元(约160万英镑)的罚款和最高五年的监禁,不过最终判决将由法官决定。此案源于博尔顿在特朗普政府任职期间及之后,将包含高度机密信息的手写笔记传递给两名家庭成员。
微软数字犯罪部门与欧洲刑警组织及国际合作伙伴合作,宣布作为正在进行的”终局行动”的一部分,捣毁了Amadey和StealC信息窃取器的运营。这项协调行动识别了200多个恶意命令和控制域名及IP地址,已通过法院命令和域名查封予以关闭。在5月为期两周的监控期间,全球超过14万台计算机被发现感染了这些工具。此次行动追回了2700万个被盗登录凭证,并冻结了4100万欧元(约4700万美元)的犯罪加密资产。微软表示,调查人员使用了包括Copilot在内的AI工具来分析恶意软件二进制文件,并绘制两个恶意软件家族之间共享的基础设施图谱,这些家族以”恶意软件即服务”模式运营,是勒索软件攻击的入口。
来源:Security News This Week: LastPass Users Had Their Data Stolen – Again (Wired,2026年6月27日);LastPass Confirms Customer Data Breach After Klue OAuth Token Theft (HackRead,2026年6月23日);Microsoft, Europol lead global takedown of infostealer malware (Cybersecurity Dive,2026年6月24日);John Bolton pleads guilty in documents case (USA Today,2026年6月26日)
婷 翻译