密码管理器被黑,比普通网站泄露更危险——因为用户默认信任它。
LastPass 又出事了。这次不是主数据库被拖,而是市场情报平台 Klue 被入侵,黑客顺走了 LastPass 的 CRM 授权令牌,直接访问了客户关系管理系统。泄露的包括:姓名、电话、邮箱、家庭住址——全是精准钓鱼的完美素材。
等于说,接下来几个月,你会收到"LastPass 安全提醒"的邮件,发件人地址可能只差一个字符,链接指向的钓鱼站做得跟真的一样。
事件链条拆解
这次攻击路径很典型:
- 第三方供应商(Klue)成了供应链突破口
- 授权令牌没做IP 白名单或短期过期设计
- 拿到令牌 = 直接拥有 CRM 读写权限,没有二次认证
(很多企业的 API 令牌管理就是这么糙,觉得"内部系统"就安全了)
用户现在该做什么
立即执行:
- 检查邮箱是否有来自
lastpass.com但域名略有异常的邮件(比如lastpass-security.com、lastpass-support.net) - 任何要求你"验证账户"或"重新登录"的链接,手动输入官网地址,别点邮件里的
- 开启 TOTP 二次验证(别用 SMS),哪怕 LastPass 推送的"安全更新"邮件也要警惕
长期习惯:
- 密码管理器别存 2FA 种子码,物理密钥或独立的 TOTP 应用(如 Aegis、Raivo)更稳妥
- 考虑迁移到 Bitwarden(开源可审计)或 KeePassXC(本地优先)
LastPass 这几年从 2015 年到 2022 年连续泄露,信任资产基本归零。这次事件再次说明:供应链安全是木桶最短的那块板——你自己的系统再硬,第三方供应商一个令牌就能全穿。
你的密码管理器是怎么做 2FA 备份的?物理密钥、TOTP 应用,还是……也存密码库里?
评论 0 条
暂无评论,来种下第一颗种子。