針對2022年密碼管理服務商LastPass資料外洩事故，英國開罰120萬英鎊

英國資料隱私主管機關本周就三年前發生大量資料外洩事件，判罰密碼管理方案業者LastPass 120萬英鎊。

英國資訊委員會辦公室（Information Commissioner's Office,ICO）基於160萬英國用戶個資外洩，判罰LastPass 120萬英鎊。

ICO指出，其調查發現LastPass導入的技術和資安措施完備性不足，最終導致駭客非授權存取備份資料庫，而且沒有證據顯示起因存在用戶裝置上的未加密密碼所致。

根據英國政府的調查，2022年8月LastPass發生兩次資安事件。先是LastPass歐洲區員工公司筆電被駭，駭客進入公司開發環境。當時沒有個資被存取，但竊走了加密的公司憑證。那次LastPass措施奏效，金鑰存放在四名資深員工（包含第二次的受害員工）的帳號保管庫（account vaults）之外，未被駭客存取。

第二次事件中，駭客利用第三方程式漏洞，在LastPass美國員工個人電腦植入鍵盤側錄程式，並盜走雲端資料儲存金鑰，開啟禍端。駭客從該公司的AWS S3儲存庫竊走客戶資料備份，包括公司名稱、電子郵件、IP位址、網頁書籤、密碼及加密資料等。此事並造成用戶遭釣魚攻擊等後續資安事件。

ICO提醒，企業應確保內部安全政策，考慮並處理資料外洩風險，特別像是在家遠端工作的辦公情境。