HackerNews 编译，转载请注明出处： LastPass 警告出现钓鱼攻击，攻击者利用伪造的未授权访问或密码修改安全警报，窃取用户主密码。 LastPass 向用户发出警告，新型钓鱼攻击使用伪造安全警报，声称发生未授权访问或主密码被修改。这些邮件伪造 LastPass 发件人显示名，试图诱骗收件人泄露主密码，导致账户被盗。...

LastPass 表示，这一钓鱼活动大约始于 2026 年 1 月 19 日。攻击者通过冒充 LastPass 官方发送电子邮件，声称系统即将进行紧急维护，并要求用户在 24 小时内备份其密码库。 这些邮件使用了涉及基础设施更新、密码库安全以及“错过截止期限”等主题词，诱骗受害者泄露主密码。 LastPass 在警告中写道：...

区块链情报公司 TRM Labs 最新调查显示，2022 年 LastPass 数据泄露事件中被窃的加密备份文件，因部分用户主密码强度不足，至今仍在被黑客离线破解，导致加密货币资产持续失窃，最近一次盗币发生在 2025 年 10 月。 链上证据显示，俄罗斯网络犯罪集团深度参与：相关资金多次与俄罗斯关联基础设施交互，混币前后控制权一致，且持续使用高风险俄系交易所套现。TRM Labs 指出，评估结论“基于完整的链上证据链”。...

英国信息专员办公室（ICO）对LastPass UK处以120万英镑罚款，此前该公司发生的数据泄露事件影响了160万人。 根据英国数据保护监管机构的调查，这家密码管理公司未能实施足够健全的技术和安全措施，导致黑客得以入侵其备份数据库。 由此引发了两起发生在2022年8月的事件。在第一起事件中，黑客获取了一名LastPass员工的公司笔记本电脑，并随后访问了公司的开发环境。...

HackerNews 编译，转载请注明出处： 美国当局已追回超过 2300 万美元的加密货币，这些加密货币与 2024 年 1 月从瑞波（Ripple）加密钱包中窃取的 1.5 亿美元有关。调查人员相信，2022 年入侵 LastPass 的黑客是此次攻击的幕后黑手。 尽管威胁行为者试图掩盖行踪，但执法人员在 2024 年 6 月至 2025 年 2 月期间追踪到价值 23,604,815.09 美元的被盗数字资产，并将其与以下加密货币交易所关联：OKX、Payward Interactive, Inc....

密码管理供应商LastPass日前公布了去年遭受“二次协同攻击”事件的更多信息，发现恶意黑客潜伏在其内网长达两个月的时间内，持续访问并窃取了亚马逊AWS云存储中的数据。据安全内参了解，“二次协同攻击”事件，是指LastPass在2022年8月、12月先后披露的两起违规事件，这两起事件的攻击链有关联。 LastPass在去年12月透露，恶意黑客窃取到部分加密的密码保险库数据和客户信息。现在，该公司进一步解释了恶意黑客的攻击实施方法，称对方使用到了去年8月首次入侵时窃取的信息，还利用一个远程代码执行漏洞，在一名高级DevOps工程师的计算机上安装了键盘记录器。LastPass表示，...

Lastpass母公司GoTo也遭受影响 由于第三方云存储服务由LastPass及其母公司GoTo（原名LogMeIn）共享，因此此次攻击事件也影响了GoTo的开发环境和第三方云存储服务，并泄露了相应的数据。

GoTo表示，该攻击事件并未影响他们的产品和服务，并且它们仍然可以正常运行。为了更好地确保安全，...

LastPass 表示发生于今年 8 月的安全事件里，在公司检测并驱逐之前黑客访问公司多个系统的时间已有 4 天。在上个月发布的安全事件通知的更新中，Lastpass 的首席执行官 Karim Toubba 还表示， Toubba 表示：“尽管威胁行为者能够访问开发环境，但我们的系统设计和控制阻止了威胁行为者访问任何客户数据或加密密码库”。 虽然攻击者能够通过该方法破坏 Lastpass 开发人员的端点以访问开发环境，但调查发现，攻击者在“使用多因素身份验证成功进行身份验证”后能够冒充开发人员。在分析源代码和生产版本后，该公司也没有发现攻击者试图注入恶意代码的证据。...

LastPass 安全咨询通过电子邮件发送给客户

资料显示，LastPass 是世界上最大的密码管理公司之一，对外宣称有超过3300万人和10万家企业正在使用其产品。

由于消费者和企业使用该公司的软件来安全地存储他们的密码，因此不少用户对于此次攻击事件的衍生后果表示非常担忧，...

针对有用户报告称存在未经授权的登录尝试之后，LastPass 方面表示目前并没有证据表明存在数据泄漏。LogMeIn 全球公关部高级主管 Nikolett Bacso-Albaum 向 The Verge 表示，用户收到的警报和“相当常见的机器人活动”有关。 他表示涉及到使用电子邮件地址和密码登录 LastPass 账户的恶意尝试，这些密码是破坏者从过去第三方服务（即不是 LastPass）的漏洞中获得的。...