HackerNews 编译，转载请注明出处： LastPass 警告出现钓鱼攻击，攻击者利用伪造的未授权访问或密码修改安全警报，窃取用户主密码。 LastPass 向用户发出警告，新型钓鱼攻击使用伪造安全警报，声称发生未授权访问或主密码被修改。这些邮件伪造 LastPass 发件人显示名，试图诱骗收件人泄露主密码，导致账户被盗。 LastPass TIME 团队已向客户发出警报，该活跃钓鱼攻击约始于 2026 年 3 月 1 日。攻击者使用多个邮箱地址、多种邮件标题发送邮件，伪装成关于账户未授权访问的内部转发消息，以此欺骗用户。 LastPass 警告，攻击者会伪造邮件对话记录，制造有人试图导出密码库、恢复账户或注册新设备的假象。 攻击者通过伪造显示名冒充 LastPass，同时隐藏真实的、无关的发件人邮箱地址。邮件诱导用户点击链接，跳转到 verify-lastpass [.] com 伪造 SSO 页面，窃取凭证。 LastPass 发布的警报称：“攻击者利用多数邮件客户端（尤其是移动端）仅显示发件人名称、不展开就隐藏真实地址的特点。邮件要求目标用户通过链接执行操作（如报告可疑行为、断开并锁定密码库、吊销设备等）；这些链接会将用户导向 https [:]//verify-lastpass [.] com 伪造 SSO 登录页面，用于窃取用户凭证。” LastPass 提醒用户，官方绝不会索要主密码，并正与合作伙伴关停钓鱼网站。建议用户保持警惕，并将可疑的仿 LastPass 邮件上报至 abuse@lastpass.com，共同保护社区安全。 公告中提供了失陷指标（IoC），包括恶意 URL 及相关 IP 地址。 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  密码管理器 LastPass 警告称，当前正发生一起冒充该服务的钓鱼攻击活动，攻击者试图窃取用户的主密码（Master Password）。 LastPass 表示，这一钓鱼活动大约始于 2026 年 1 月 19 日。攻击者通过冒充 LastPass 官方发送电子邮件，声称系统即将进行紧急维护，并要求用户在 24 小时内备份其密码库。 这些邮件使用了涉及基础设施更新、密码库安全以及“错过截止期限”等主题词，诱骗受害者泄露主密码。 LastPass 在警告中写道： “LastPass 威胁情报、缓解与升级团队提醒客户注意一项于 2026 年 1 月 19 日左右开始的活跃钓鱼活动。这些钓鱼邮件来自多个电子邮箱地址，使用不同的主题行，声称 LastPass 即将进行维护，并敦促用户在接下来的 24 小时内备份其密码库。已知的发件地址和主题行列表如下。” 钓鱼攻击手法 该活动通过钓鱼邮件中的链接，声称可帮助用户备份 LastPass 密码库。 链接首先指向一个托管在 Amazon S3 上的钓鱼页面： group-content-gen2.s3.eu-west-3.amazonaws[.]com/5yaVgx51ZzGf 随后重定向至一个伪造的 LastPass 网站： mail-lastpass[.]com 攻击者特意选择在美国假期周末发起攻击，以利用人员配置不足的时机，延缓安全团队的发现和响应。 LastPass 的应对与提醒 LastPass 强调，官方绝不会要求用户提供主密码，并敦促用户对任何可疑邮件保持警惕。公司正在努力关闭恶意域名，并请求用户将可疑邮件转发至 abuse@lastpass.com。 此外，LastPass 还分享了相关的入侵指标，包括： 伪造域名 IP 地址 发件人信息 钓鱼邮件主题行 报告总结称： “该活动发生在美国假期周末，这是威胁行为者常用的策略，目的是利用人员减少的情况，延迟被发现并拉长应对时间。” 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 区块链情报公司 TRM Labs 最新调查显示，2022 年 LastPass 数据泄露事件中被窃的加密备份文件，因部分用户主密码强度不足，至今仍在被黑客离线破解，导致加密货币资产持续失窃，最近一次盗币发生在 2025 年 10 月。 链上证据显示，俄罗斯网络犯罪集团深度参与：相关资金多次与俄罗斯关联基础设施交互，混币前后控制权一致，且持续使用高风险俄系交易所套现。TRM Labs 指出，评估结论“基于完整的链上证据链”。 2022 年，LastPass 遭重大入侵，攻击者获取大量客户加密密码库，内含加密货币私钥、助记词等敏感信息。英国信息专员办公室（ICO）本月早些时候以“未采取足够技术和安全措施”为由，对 LastPass 处以 160 万美元罚款。事发后 LastPass 曾警告，黑客可能用暴力破解手段还原主密码；TRM Labs 证实这一预言已成现实。 “任何主密码薄弱的密码库都可能被离线爆破，2022 年的一次入侵为攻击者打开了持续数年的盗窃窗口。由于用户未更换密码或加固库文件，黑客在数年后仍能破解并转走资产，最晚一批盗币发生在 2025 年底。” 资金流向凸显俄罗斯背景：混币后主要通过 Cryptomixer.io 洗白，再经 Cryptex、Audia6 两家俄系交易所套现。其中 Cryptex 已于 2024 年 9 月被美国财政部制裁，理由是其接收逾 5120 万美元勒索软件赃款。TRM Labs 目前已追踪到 3500 万美元被盗数字资产：2800 万美元在 2024 年末至 2025 年初通过 Wasabi Wallet 混币并换成比特币；另 700 万美元于 2025 年 9 月的新一轮盗币中被发现。 尽管攻击者采用 CoinJoin 混币技术，TRM Labs 仍通过聚类提款与“剥皮链”手法还原资金路径，将混合后的比特币锁定至上述两家交易所。 TRM Labs 全球政策主管 Ari Redbord 表示：“这是单一泄露演变为多年盗窃的典型案例。即便使用混币器，操作习惯、基础设施复用及套现行为仍会暴露幕后黑手。高风险俄系交易所仍是全球网络犯罪的核心出口，此案再次证明‘去混币’与生态级分析对追踪和执法至关重要。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  英国信息专员办公室（ICO）对LastPass UK处以120万英镑罚款，此前该公司发生的数据泄露事件影响了160万人。 根据英国数据保护监管机构的调查，这家密码管理公司未能实施足够健全的技术和安全措施，导致黑客得以入侵其备份数据库。 由此引发了两起发生在2022年8月的事件。在第一起事件中，黑客获取了一名LastPass员工的公司笔记本电脑，并随后访问了公司的开发环境。 尽管攻击者未能成功窃取个人信息，但他们确实窃取了加密的公司凭证。LastPass当时认为加密密钥仍然安全，因为它们存储在黑客无法访问的公司网络某处。 随后，威胁行为者盯上了一名拥有解密密钥权限的高级员工。他们通过第三方流媒体服务的已知漏洞，成功访问了该员工的个人设备。为获取该员工的公司凭证，攻击者安装了键盘记录程序，并通过使用受信任设备Cookie绕过了多重身份验证。 获得员工的”主密码”后，黑客得以访问该员工的个人和商业LastPass保管库，其中包含亚马逊网络服务访问密钥和解密密钥。结合所收集的所有信息，攻击者最终提取了备份数据库的内容，该库包含160万人的个人信息，涵盖姓名、电子邮件、电话号码及存储的网站URL等。 ICO调查发现，由于LastPass的”零知识”加密系统，没有证据表明加密密码和其他凭证能被黑客解密。这意味着访问密码管理器保管库的主密码仅存储在员工的本地设备中，从未与LastPass共享。 针对这些事件及数据泄露造成的影响，ICO对LastPass处以120万英镑罚款。 英国信息专员约翰·爱德华兹在声明中表示：”LastPass用户有权期待其委托给公司的个人信息得到安全保护。然而，该公司未能达到这一预期，因此今天我们宣布了相应比例的罚款。” 消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国当局已追回超过 2300 万美元的加密货币，这些加密货币与 2024 年 1 月从瑞波（Ripple）加密钱包中窃取的 1.5 亿美元有关。调查人员相信，2022 年入侵 LastPass 的黑客是此次攻击的幕后黑手。 尽管威胁行为者试图掩盖行踪，但执法人员在 2024 年 6 月至 2025 年 2 月期间追踪到价值 23,604,815.09 美元的被盗数字资产，并将其与以下加密货币交易所关联：OKX、Payward Interactive, Inc.（即 Kraken）、WhiteBIT、AscendEX Technology SRL、Ftrader Ltd（即 FixedFloat）、SwapSpace LLC 和 Rabbit Finance LLC（即 CoinRabbit）。 美国司法部昨日解封的一份没收投诉书显示，美国特勤局的调查人员在采访受害者后认为，攻击者只能通过破解受害者密码库中存储的私钥来窃取加密货币，而这些私钥是在 2022 年在线密码管理器数据泄露事件中被盗取的。 他们发现，存储在多个受害者密码管理器账户中的被盗数据和密码被攻击者用来访问“他们的电子账户并窃取信息、加密货币和其他数据”。 他们还发现，没有证据表明受害者的设备被入侵，这表明攻击者是通过解密被盗的在线密码管理器数据来获取用于入侵受害者加密钱包的密钥。 “盗窃规模和资金迅速流失的情况表明，这需要多个恶意行为者的努力，并且与在线密码管理器数据泄露和其他类似情况受害者的加密货币盗窃案一致。” 尽管调查人员未明确指出受害者身份，但这些细节与 2024 年 1 月 31 日披露的瑞波联合创始人兼执行主席克里斯·拉森（Chris Larsen）钱包遭黑客攻击、价值 1.5 亿美元的加密货币被盗事件相符。 加密货币欺诈调查员扎克 XBT（ZachXBT）首先将本周追回的 2300 万美元加密货币与拉森的 XRP 钱包遭黑客攻击事件联系起来。 “美国执法部门昨日提交的没收投诉书揭示了 2024 年 1 月瑞波联合创始人克里斯·拉森钱包遭袭的 1.5 亿美元（2.83 亿 XRP）的原因，即私钥存储在 LastPass（2022 年遭黑客攻击的密码管理器）中，”他今日在 Telegram 消息中表示。 3 月 7 日 14:40 东岸时间：LastPass 在发布后发表以下声明： “自 2022 年我们首次披露这一事件以来，LastPass 一直与执法部门的多位代表密切合作。到目前为止，我们的执法合作伙伴尚未向我们提供任何确凿证据，将任何加密货币盗窃与我们的事件联系起来。在此期间，我们一直在大力投资加强安全措施，并将继续这样做。”   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

密码管理供应商LastPass日前公布了去年遭受“二次协同攻击”事件的更多信息，发现恶意黑客潜伏在其内网长达两个月的时间内，持续访问并窃取了亚马逊AWS云存储中的数据。 据安全内参了解，“二次协同攻击”事件，是指LastPass在2022年8月、12月先后披露的两起违规事件，这两起事件的攻击链有关联。 关键运维员工遭定向攻击 LastPass在去年12月透露，恶意黑客窃取到部分加密的密码保险库数据和客户信息。现在，该公司进一步解释了恶意黑客的攻击实施方法，称对方使用到了去年8月首次入侵时窃取的信息，还利用一个远程代码执行漏洞，在一名高级DevOps工程师的计算机上安装了键盘记录器。 LastPass表示，二次协同攻击利用到了首轮违规中外泄的数据，并访问了该公司经过加密的Amazon S3存储桶。 LastPass公司只有4位DevOps工程师有权访问这些解密密钥，因此恶意黑客将矛头指向了其中一名工程师。最终，黑客利用第三方媒体软件包中的远程代码执行漏洞，在该员工的设备上成功安装了键盘记录器。  “恶意黑客成功获取了员工在完成多因素身份验证（MFA）后输入的主密码（master password），借此获得了该DevOps工程师对LastPass企业密码保险库的访问权。”LastPass日前发布的最新安全警告称。 “恶意黑客随后导出了共享文件夹中的本地企业密码保险库条目和内容，其中包括能够访问LastPass AWS S3生产备份、其他云存储资源以及部分相关重要数据库备份的安全注释和加密密钥。” 由于恶意黑客窃取并使用了有效的访问凭证，LastPass的调查人员很难检测到对方活动，导致其顺利从LastPass的云存储服务器处访问并窃取到大量数据。恶意黑客甚至持续驻留达两个月以上，从2022年8月12日一直到2022年10月26日。 直到恶意黑客尝试用云身份和访问管理（IAM）角色执行未授权操作时，LastPass才最终通过AWS GuardDuty警报检测到这些异常行为。 该公司表示，他们已经更新了安全机制，包括对敏感凭证及身份验证密钥/令牌进行轮换、撤销证书、添加其他记录与警报，以及执行更严格的安全策略等。 大量数据已被访问 作为此次披露的一部分，LastPass还发布了关于攻击中哪些客户信息遭到窃取的具体说明。 根据特定客户的不同，失窃数据的范围很广且内容多样，包括多因素身份验证（MFA）种子值、MFA API集成secreet，以及为联合企业客户提供的Split Knowledge组件（K2）密钥。 以下是被盗数据内容的基本概括，更详细的失窃信息说明请参阅LastPass支持页面（https://support.lastpass.com/help/what-data-was-accessed）。 事件1中被访问的数据汇总 云端按需开发和源代码仓库——包括全部200个软件代码仓库中的14个。 来自各代码仓库的内部脚本——其中包含LastPass secrets和证书。 内部文档——描述开发环境运作方式的技术信息。 事件2中被访问的数据汇总 DevOps secrets——用于访问我们云端备份存储的受保护secrets。 云备份存储——包含配置数据API secrets、第三方集成secrets客户元数据，以及所有客户保险库数据的备份。除URL、用于安装LastPass Windows/macOS版软件以及涉及邮件地址的特定用例之外，全部敏感客户保险库数据均通过“零知识架构”进行加密，且只能通过各用户主密码提供的唯一加密密钥实现解密。请注意，LastPass永远不会获取最终用户的主密码，也不会存储或持有主密码——因此，泄露数据中不涉及任何主密码。 LastPass MFA/联邦数据库备份——包含LastPass Authenticator的种子值副本，作为MFA备份选项（如果启用）的电话号码，以及供LastPass联邦数据库（如果启用）使用的Split Knowledge组件（即K2「密钥」）。该数据库经过加密，但在第二次违规事件中，恶意黑客窃取了单独存储的解密密钥。 本次发布的支持公告还相当“隐蔽”，由于LastPass公司在公告页面的HTML标签添加了<meta name=”robots” content=”noindex”>，因此该页面无法通过搜索引擎直接检索。 LastPass还发布一份题为“安全事件更新与建议操作”的PDF文档，其中包含关于违规和失窃数据的更多信息。 该公司也整理了支持文件，面向免费、付费和家庭客户以及LastPass Business管理员提供应对建议。 通过公告中的建议操作，应可进一步保障您的LastPass账户与相关集成。 转自 安全内参，原文链接：https://mp.weixin.qq.com/s/zvrwVei6Jy-zEDTkks7Ptg 封面来源于网络，如有侵权请联系删除  

11月30日，密码管理工具 LastPass首席执行官 Karim Toubba公开承认，通过一个新的漏洞，黑客访问了 LastPass 的第三方云存储服务器，并获得了部分客户的关键信息。但具体有多少客户因此受到影响，以及黑客窃取了哪些敏感信息暂时未公布。 在Last Pass公开承认这一数据泄露事件后，该公司进一步强调“由于LastPass采取了先进的零信任架构体系，因此客户的密码仍然被安全加密。” 但是这个保证似乎并没有让客户满意。毕竟在2022年8月，LastPass 还曾公开承认，有黑客曾进入过 LastPass 的内部系统，并窃取了部分源代码和敏感数据。仅仅三个月后，LastPass 就在一次出现如此严重的数据泄露事件。 公开信息显示，LastPass是一个在线密码管理器和页面过滤器，采用了强大的加密算法，自动登录/云同步/跨平台/支持多款浏览器。该公司声称其产品有超过10万家企业、3300万人员正在使用，是全球最大的在线密码管理软件。 值得一提的是，11月发生的数据泄露事件和8月发生的源代码泄露存在关联，根据LastPass 首席执行官 Karim Toubba的说法，黑客利用了“8月事件中获得的信息” ，从而获得了对用户数据的访问。 LastPass 表示，目前公司已经聘请专业网络安全公司Mandiant调查此事件，并将此次攻击的情况和执法部门进行了汇报。 近几年，LastPass 频频传出数据、密码泄露丑闻。2021年年底，许多LastPass用户在收到LastPass登录电子邮件警告，邮件告知他们的主密码已被泄露，有人试图从未知位置登录他们的帐户。事后，LastPass 回应异常登录称，暂无证据表明数据泄露，但用户并不买账，并对LastPass的安全性提出了质疑。 Lastpass母公司GoTo也遭受影响 由于第三方云存储服务由LastPass及其母公司GoTo（原名LogMeIn）共享，因此此次攻击事件也影响了GoTo的开发环境和第三方云存储服务，并泄露了相应的数据。 GoTo表示，该攻击事件并未影响他们的产品和服务，并且它们仍然可以正常运行。为了更好地确保安全，GoTo公司称在袭击发生后部署了“增强的安全措施和监控能力”。 有国外媒体向 GoTo 询问事件发生的具体信息及相关后果，例如攻击发生的时间或源代码是否被盗，但尚未得到回复。 转自 Freebuf，原文链接：https://www.freebuf.com/news/351313.html 封面来源于网络，如有侵权请联系删除

LastPass 表示发生于今年 8 月的安全事件里，在公司检测并驱逐之前黑客访问公司多个系统的时间已有 4 天。在上个月发布的安全事件通知的更新中，Lastpass 的首席执行官 Karim Toubba 还表示，该公司的调查（与网络安全公司 Mandiant 合作进行）没有发现威胁行为者访问客户数据或加密密码库的证据。 Toubba 表示：“尽管威胁行为者能够访问开发环境，但我们的系统设计和控制阻止了威胁行为者访问任何客户数据或加密密码库”。 虽然攻击者能够通过该方法破坏 Lastpass 开发人员的端点以访问开发环境，但调查发现，攻击者在“使用多因素身份验证成功进行身份验证”后能够冒充开发人员。在分析源代码和生产版本后，该公司也没有发现攻击者试图注入恶意代码的证据。 这很可能是因为只有 Build Release 团队才能将代码从 Development 推送到 Production，即便如此，Toubba 表示该过程还涉及代码审查、测试和验证阶段。此外，他补充说，LastPass 开发环境与 LastPass 的生产环境“物理分离，并且没有直接连接”。 事件发生后，Lastpass 在开发和生产环境中部署了包括额外的端点安全控制和监控在内的增强安全控制，以及额外的威胁情报功能和增强的检测和预防技术。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1317291.htm 封面来源于网络，如有侵权请联系删除

据Bleeping Computer报道，密码管理巨头 LastPass 两周前遭到黑客攻击，尽管公司在发现攻击行为后已经拼命进行阻止，但是结果令人感到惋惜，黑客依旧突破了封锁，可窃取该公司的源代码和专有技术信息。 8月25日，在发送有关此次攻击的问题后，LastPass 发布了一份安全公告，确认黑客是通过访问公司开发人员的账户进行入侵，并对开发环境进行破坏。 在发布的安全报告中，LastPass表示目前没有任何证据表明客户数据或加密的密码库遭到破坏，但承认攻击者确实窃取了部分“源代码”和“LastPass 专有的技术信息”。 攻击事件发生后，LastPass对外称已经聘请了一家领先的网络安全和取证公司进行处理，尽可能部署遏制和缓解措施，降低该事件带来的影响。“虽然该事件的调查还在持续进行，但是我们已经有效遏制了此次攻击，实施了额外的强化安全措施，并且没有看到任何未经授权的活动的进一步证据。” LastPass向客户发送了电子邮件告知此次攻击事件，至于和此次攻击的详细过程，以及攻击者如何入侵开发者帐户，哪些源代码和专有技术信息被盗等相关信息，LastPass 并没有对外提供。 LastPass 安全咨询通过电子邮件发送给客户 资料显示，LastPass 是世界上最大的密码管理公司之一，对外宣称有超过3300万人和10万家企业正在使用其产品。 由于消费者和企业使用该公司的软件来安全地存储他们的密码，因此不少用户对于此次攻击事件的衍生后果表示非常担忧，如果黑客获取了相应的权限，那么很有可能被允许访问用户存储的密码信息。 对此，LastPass表示公司将密码存储在“加密保险库”中，只能使用客户的主密码进行解密，在此次攻击中并未收到任何破坏。 但是该声明并未打消用户的全部疑虑，因为在2021年，LastPass曾遭受撞库攻击，并且攻击者可以确认用户的主密码。更糟糕的是，这些主密码被使用RedLine 密码窃取恶意软件的攻击者窃取。 换句话说，用户不可因为信任LastPass 而完全放松警惕，主密码也有可能在网络攻击中泄露，所以在LastPass 帐户上启用多因素身份验证是一件非常有必要的措施。此外，还需要保持良好的密码使用习惯，并定期进行更换，提高密码的安全性。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/343183.html 封面来源于网络，如有侵权请联系删除

针对有用户报告称存在未经授权的登录尝试之后，LastPass 方面表示目前并没有证据表明存在数据泄漏。LogMeIn 全球公关部高级主管 Nikolett Bacso-Albaum 向 The Verge 表示，用户收到的警报和“相当常见的机器人活动”有关。 他表示涉及到使用电子邮件地址和密码登录 LastPass 账户的恶意尝试，这些密码是破坏者从过去第三方服务（即不是 LastPass）的漏洞中获得的。 Basco-Albaum 说：“需要注意的是，我们没有任何迹象表明账户被成功访问或 LastPass 服务被未经授权的一方破坏。我们定期监测这类活动，并将继续采取旨在确保 LastPass、其用户和他们的数据得到保护和安全的措施”。即使 LastPass 实际上没有被破坏，用多因素认证加固你的账户仍然是一个好主意，多因素认证在你登录你的账户之前使用外部资源来验证你的身份。   （消息及封面来源：cnBeta）