11月30日，密碼管理工具 LastPass首席執行官 Karim Toubba公開承認，通過一個新的漏洞，黑客訪問了 LastPass 的第三方云存儲服務器，并獲得了部分客戶的關鍵信息。但具體有多少客戶因此受到影響，以及黑客竊取了哪些敏感信息暫時未公布。

在Last Pass公開承認這一數據泄露事件后，該公司進一步強調“由于LastPass采取了先進的零信任架構體系，因此客戶的密碼仍然被安全加密。”

但是這個保證似乎并沒有讓客戶滿意。畢竟在2022年8月，LastPass 還曾公開承認，有黑客曾進入過 LastPass 的內部系統，并竊取了部分源代碼和敏感數據。僅僅三個月后，LastPass 就在一次出現如此嚴重的數據泄露事件。

公開信息顯示，LastPass是一個在線密碼管理器和頁面過濾器，采用了強大的加密算法，自動登錄/云同步/跨平臺/支持多款瀏覽器。該公司聲稱其產品有超過10萬家企業、3300萬人員正在使用，是全球最大的在線密碼管理軟件。

值得一提的是，11月發生的數據泄露事件和8月發生的源代碼泄露存在關聯，根據LastPass 首席執行官 Karim Toubba的說法，黑客利用了“8月事件中獲得的信息" ，從而獲得了對用戶數據的訪問。

LastPass 表示，目前公司已經聘請專業網絡安全公司Mandiant調查此事件，并將此次攻擊的情況和執法部門進行了匯報。

近幾年，LastPass 頻頻傳出數據、密碼泄露丑聞。2021年年底，許多LastPass用戶在收到LastPass登錄電子郵件警告，郵件告知他們的主密碼已被泄露，有人試圖從未知位置登錄他們的帳戶。事后，LastPass 回應異常登錄稱，暫無證據表明數據泄露，但用戶并不買賬，并對LastPass的安全性提出了質疑。

Lastpass母公司GoTo也遭受影響

由于第三方云存儲服務由LastPass及其母公司GoTo（原名LogMeIn）共享，因此此次攻擊事件也影響了GoTo的開發環境和第三方云存儲服務，并泄露了相應的數據。

GoTo表示，該攻擊事件并未影響他們的產品和服務，并且它們仍然可以正常運行。為了更好地確保安全，GoTo公司稱在襲擊發生后部署了“增強的安全措施和監控能力”。

有國外媒體向 GoTo 詢問事件發生的具體信息及相關后果，例如攻擊發生的時間或源代碼是否被盜，但尚未得到回復。

https://www.bleepingcomputer.com/news/security/lastpass-says-hackers-accessed-customer-data-in-new-breach/