密碼管理工具 LastPass 遭新資料外洩攻擊 - 立即應對的 4 個步驟

隨著密碼管理服務 LastPass 近期面臨最新的資安事件,許多使用者開始擔心自己的帳號安全。究竟發生了什麼事?又該如何自保?本文為您整理出在類似情況下,應該採取的四個關鍵步驟,協助您鞏固數位資產的安全防線。

1. 立即更改 LastPass 密碼與所有相關密碼

核心原因:降低帳號被盜風險 密碼外洩後,攻擊者可能嘗試登入您的各項服務,包含電子郵件、社群媒體等。第一時間變更 LastPass 的預設密碼,並針對重要帳戶使用強密碼(如密碼管理工具生成的 16 字元以上組合),可大幅降低遭盜用機率。 台灣使用者注意: 若同時在其他平台使用相同或高強度密碼,建議同步更新以避免多重風險。

2. 強制啟用雙因素認證 (2FA)

防護層級升級 即便密碼被破解,若帳戶已開啟兩步驟驗證(如搭配手機驗證),攻擊者仍需取得您的第二道驗證機制才能登入。此舉能有效阻斷未授權存取路徑。 台灣使用者注意: 可優先選擇簡便的 Authenticator App 或硬體鑰匙,確保日常使用便利性與安全性間取得平衡。

3. 監控帳戶活動並啟用即時通知

主動防禦機制 登入 LastPass 後,立即檢查是否有異常操作紀錄(如異地連線、新裝置嘗試)。同時開啟帳戶的「異常活動警示」,當偵測到可疑行為時會透過簡訊或 App 推播提醒。 台灣使用者注意: 部分金融機構(如銀行)已將此類服務納入標準安全配置,若您在該平台有綁定信用卡等敏感資料,務必確認是否已啟用相關功能。

4. 若曾使用外流密碼 / 有其他帳戶風險則升級為更高階別防護 **

高風險情境應對 若發現 LastPass 的外洩密碼與您的其他帳號重複,建議立即執行以下措施:

  • 修改所有相關服務的密碼(特別是雲端儲存、支付平台)
  • 使用密碼瀏覽器或安全資料夾暫時保管外洩密碼
  • 諮詢台灣資安專家或撥打「165 反詐騙專線」確認是否有個資遭冒用情事

台灣使用者特別提醒: 部分政府單位(如健保署)近年頻繁發生類似事件,若您的帳號涉及公務用途或敏感資料,應儘速向所屬機關通報並申請密碼重置服務。

追蹤 ZDNET: 將我們加入 Google 的首選來源。ZDNET 的重點摘要 第三方資料外洩已影響 LastPass 客戶。此次外洩暴露了姓名、電話號碼等個資。沒有主密碼或密碼管理員被竊取。您使用 LastPass 作為密碼管理器嗎?如果有,那有壞消息:是的,這是另一次資料外洩事件,但這次發生在一家第三方供應商身上。在一篇週二的部落格文章中,LastPass 揭露了一次發生在第三方供應商 Klue 的外洩事件,該公司曾用於整合其 Salesforce 和 Gong 系統,從而處理客戶數據並進行市場研究。駭客竊取了用於連接多個系統(包括 Salesforce 和 Gong)的 OAuth 安全令牌,進而盜用了儲存在 Salesforce 中的 LastPass 使用者資料。此次外洩的主要好消息是沒有主密碼或密碼管理員被竊取。2026 年還能信任 LastPass 嗎?重塑安全文化的數百萬美元計畫 Inside the multimillion-dollar quest to rebuild its security culture,如部落格文章所解釋,Klue 是一個第三方市場研究平台,LastPass 用於整合其 Salesforce 和 Gong 系統,從而處理客戶資料並進行市場研究。駭客透過竊取 Klue 連接客戶數據的 OAuth 安全令牌來獲取了這些資訊。然後利用這些令牌盜用了儲存在 Salesforce 中的 LastPass 使用者資料。How LastPass 是如何應對的 In response to the breach, LastPass 說明已切斷所有員工對 Klue 的存取、重新整理受影響的令牌,並與 Klue 和 Salesforce 一同展開調查,同時與執法單位合作。該公司也宣布將資訊分享給更廣泛的資安社群以協助破壞此次活動。當然,LastPass 已承諾建立更好的防護措施,防止類似事件再次發生。Klue 的部落格文章指出,該公司於 6 月 12 日發現了外洩。此後,該公司已與資安專家合作,調查事件並修復所有受影響的連接。LastPass 並非唯一受此次外洩波及的公司。其他受害者包括 Gong、Jamf、HackerOne、Insurity、OneTrust、Recorded Future、Snyk、Sprout Social 和 Tanium,這些資訊由 TechCrunch 報導。

Ransomware group Icarus has claimed responsibility for the breach, threatening that it would publish the compromised data if Klue didn't pay the ransom. 那麼,LastPass 的使用者應該怎麼做?首先,您應該已經收到來自 LastPass 的電子郵件通知,告知您發生了洩密事件並提供後續步驟建議。其次,請留意是否有其他釣魚攻擊或社會工程詐騙試圖利用您被盜用的聯絡資訊。像往常一樣,這意味著您應該仔細檢查任何要求您提供敏感資訊的電子郵件、簡訊或電話。同時:即使沒有密碼或密碼庫被洩漏,您可能仍然希望更改您的主密碼。請使其堅固但仍易於記憶。密語總是個不錯的選擇,因為它既複雜又容易記住。第四,考慮更換密碼管理工具。這並非 LastPass 使用者首次受到資料洩露或重大問題的影響。早在 2022 年,駭客透過利用已受感染的帳戶竊取了一些原始碼和專有 LastPass 技術資料。但情況並未就此結束。同年稍後,公司透露第一次攻擊所獲得的資訊導致了第二次攻擊,進一步盜取了客戶姓名、帳單地址、電子郵件地址、電話號碼和 IP 位址。2020 年,一次重大中斷使 LastPass 使用者無法登入其帳戶。有些使用者表示他們受到了幾天的影響。在 2019 年,安全研究人員發現了一個 LastPass 安全漏洞,該漏洞暴露了在之前造訪的網站上輸入的登入憑證。此外:2026 年最佳密碼產生器——專家測試那不是一個好的紀錄。是的,這次洩密並非直接歸咎於 LastPass 的錯誤。公司已承諾在過去的事件之後改善其行為。但仍有其他密碼管理工具具有更好的紀錄。以下是一些候選者:1Password、NordPass 和 Bitwarden。但是,從一個密碼管理工具切換到另一個會很麻煩嗎?可能並不像您想的那樣糟糕。我一年多前就從一個換了另一個,過程比我想的還要順利。