又是你！密码管理器LastPass再次被黑泄露用户联系信息接下来可能钓鱼频发

#安全资讯又是你！密码管理器 LastPass 又双叒叕泄露用户数据了，这次泄露的是用户姓名、电话、邮箱、家庭住址等，接下来用户可能会收到各类冒充 LastPass 的钓鱼邮件。此次事件源于市场情报平台 Klue 被黑，黑客从 Klue 平台窃取了 LP 的授权令牌，令牌可以访问 CRM 系统，于是这些数据也被黑客偷了。查看全文：https://ourl.co/113617

业界知名 (负) 的密码管理器 LastPass 日前发布公告透露自己再次被黑，此次倒是没有泄露用户的密码存储库，但因为该公司使用市场调查公司 Klue 并与之集成销售系统，后者被黑后黑客通过窃取的令牌访问销售系统，所以接下来用户可能会频繁收到各类冒充 LastPass 的钓鱼邮件，如果用户不慎暴露关键信息例如主密码就有可能导致整个存储库被黑。

此次安全事件概述：

本月初有黑客攻击市场情报平台 Klue，密码管理器 LastPass 市场推广团队使用该平台，同时还将 Salesforce 和 Gong 系统集成到 Klue，在 Klue 被黑客攻击后，黑客窃取用于系统集成的 OAuth 授权令牌，这使得黑客可以通过令牌访问 LastPass 的销售管理系统、支持工单系统、客户管理系统。

LastPass 警告称，用户的姓名、电话号码、电子邮件地址、家庭住址、支持工单信息、销售 / 客户管理相关数据可能已经泄露，但目前没有证据表明 Gong 相关数据也被泄露，Gong 数据通常包括用户与 LastPass 的交谈记录以及电子邮件沟通记录等。

接下来钓鱼邮件应该会很多：

目前发起攻击的勒索团队 Lcarus 已经开始向部分受影响的公司发起勒索活动，LastPass 并未透露自己是否收到勒索信，但无论是否支付赎金都不能保证已经被窃取的数据永远不会暴露在网上，毕竟有些黑客可能在收到赎金后仍然会私下销售数据给下游黑客。

所以对用户而言，接下来有可能会频繁收到冒充 LastPass 的钓鱼邮件，例如提醒你有重大安全问题需要更新软件，实际上让你下载的软件包是带毒的；或者诱导你修改账户密码，但访问的地址是钓鱼网站等。这种社会工程学攻击总是让人防不胜防。

使用 LastPass 密码管理器的用户不如直接导出数据转移到其他平台，这家密码管理器在过去几年出现过多次安全事件，作为密码管理器产品结果无法保证自己的安全，那对用户来说继续使用会存在严重风险。

相关资讯：