对于在数字安全边界上屡遭挫折的密码托管巨头 LastPass 而言,供应链的漏洞再次成为其无法回避的软肋。2026年6月23日,LastPass 开始向其用户分发安全通告邮件,承认由于一家外部技术合作伙伴近期遭遇黑客攻击,部分用户的个人隐私信息以及客服支持工单记录已被攻击者窃取。这起事件也成为该公司在经历 2022 年底严重数据泄露之后,遭遇的最新一起安全风波。
根据 LastPass 官方发布的信息,此次安全入侵事件的源头并非 LastPass 自身的服务器或数据库,而是与其合作的第三方市场研究与竞争情报服务商 Klue,Klue官方也进行了确认。黑客在入侵 Klue 的系统后,滥用了该平台持有的接口与访问权限,进而大肆导出了与其客户相关的敏感信息。被窃取的数据不仅包含用户的姓名、电话号码、电子邮件地址和实际物理地址,还包含大量极其敏感的“客户支持案例数据”以及部分与销售相关的业务数据。
核心密码库未受波及,但社工库风险陡增
LastPass 官方在声明中极力安抚用户,指出其自身的主服务器、网络基础设施,以及用于存放用户加密凭证的“安全密码库(Vaults)”并未受到任何波及。这意味着用户的账号密码、信用卡号和保密笔记等最核心资产在密码学层面依旧是安全的。
然而,网络安全专家对此轮泄露可能引发的“社会工程学”钓鱼攻击表达了担忧。由于被盗的“客户支持案例数据”中通常包含用户向客服申诉时的具体故障描述、历史账号问题以及部分身份核验轨迹,攻击者可以利用这些高度精细的背景资料,针对受害者制定极具迷惑性的个性化钓鱼邮件或欺诈电话。如果用户轻信了伪装成 LastPass 官方客服的黑客,并交出了自己的主密码或双重验证码(2FA),那么其密码库的安全防护将形同虚设。
供应链安全漏洞敲响大厂警钟
此次事件再次为全球科技企业的供应链管理敲响了警钟。即便大企业自身在核心安全架构上投入重金,但外包商、第三方数据服务商和分析机构往往会成为整个防御链条中最薄弱的环扣。
尽管 LastPass 本次仅是“受害者”之一,但由于其作为密码管理工具的特殊敏感属性,频繁的安全事故已对其品牌信任度造成了难以挽回的损害。安全行业专家建议,所有收到 LastPass 警告邮件的用户在近期应格外提高警惕,任何要求提供主密码、重置安全验证或诱导点击外部链接的“客服沟通”,都应一律视为潜在的欺诈行为。
本报道由 圈小蛙(qxwa.com) 科技资讯站特约撰稿。🐸️