科技媒體 bleepingcomputer 昨日（12 月 11 日）發布博文，報道稱英國信息專員辦公室（ICO）發布公告，因 LastPass 未能採取有效的安全措施，導致 2022 年發生重大數據泄露事件，決定對其處以 120 萬英鎊（IT之家注：現匯率約合 1134.9 萬元人民幣）罰款。

調查報告指出，LastPass 在 2022 年 8 月至 10 月期間發生兩起關聯性數據泄露事件，由於未能落實足夠的安全防護措施，直接導致黑客成功竊取了多達 160 萬英國用戶的個人數據，包括姓名、電子郵件、電話號碼以及最為核心的加密密碼庫備份。

ICO 專員 John Edwards 強調，用戶有理由通過密碼管理器獲得最高級別的數據保護，但 LastPass 未能履行這一基本義務。

事後調查顯示，此次入侵的路徑極具針對性且層層遞進。攻擊者首先在 2022 年 8 月入侵了一名開發人員的筆記本電腦，獲取了部分源代碼和加密的公司憑證。

由於解密密鑰被隔離存儲，LastPass 初期誤判風險可控。然而，攻擊者隨即鎖定了持有密鑰的四名高級員工之一，利用其家用設備上安裝的流媒體軟件 Plex 的已知漏洞實施滲透。

黑客在設備植入惡意軟件和鍵盤記錄器後，成功截獲了該高管的主密碼，並利用已通過驗證的 Cookie 繞過了多因素認證（MFA），徹底攻破防線。

黑客利用竊取的高管權限訪問了公司雲存儲（GoTo），並複製了包含客戶數據的數據庫備份。雖然 LastPass 採用「零知識架構」（Zero Knowledge architecture），即公司服務器不存儲用戶的主密碼，理論上黑客無法直接解密用戶數據，但安全隱患依然嚴峻。

安全專家指出，攻擊者已掌握了加密的密碼庫文件，可以利用 GPU 算力進行離線暴力破解。如果用戶設定的主密碼長度不足或過於簡單，其存儲的所有賬號密碼仍面臨被完全破譯的風險。事實上，已有研究人員聲稱發現部分加密貨幣盜竊案與此次泄露的弱密碼庫有關。

針對此次處罰，LastPass 表示雖然對結果感到失望，但已積極配合調查並顯著加強了安全架構。ICO 則藉此案例警告所有企業，必須重新審查遠程辦公風險和設備安全策略。