LastPass 또 다시 사용자 데이터 유출
원제: Security News This Week: LastPass Users Had Their Data Stolen—Again
왜 중요한가
LastPass 같은 주요 보안 서비스의 반복적인 유출은 공급망 보안의 취약성을 드러내며 기업의 보안 태세 개선 필요성을 강조한다.
비밀번호 관리자 LastPass가 AI 비즈니스 인텔리전스 기업 Klue의 보안 침해로 인해 또 다시 고객 데이터 유출 사건을 당했다. 공격자들은 Klue 고객의 접근 토큰을 탈취해 LastPass의 이름, 전화번호, 이메일, 주소, 지원 사례 데이터 등을 획득했다.
LastPass는 26일(현지시간) 고객들에게 데이터 유출 사실을 통보했다. 이번 침해로 고객의 이름, 전화번호, 이메일 주소, 실제 주소, 지원 사례 데이터, 판매 관련 데이터 등이 노출되었다. LastPass는 자체 인프라가 침해되지 않았으며 비밀번호 저장소에는 영향을 미치지 않았다고 강조했다.
이번 사건은 AI 비즈니스 인텔리전스 기업 Klue의 보안 침해에서 비롯되었다. 공격자들은 Klue 고객의 접근 토큰을 획득한 후 이를 이용해 Salesforce 및 기타 통합 플랫폼에서 LastPass의 데이터를 탈취했다.
LastPass는 고객들에게 "노출된 연락처 정보를 악용할 수 있는 피싱 공격이나 소셜 엔지니어링 시도에 주의할 것"을 권고했다. 이는 LastPass가 최근 수년간 겪은 여러 중대 데이터 유출 사건 중 하나이다.