LastPass は、数か月前に発生した侵害について長文の声明を発表しました。 簡単に言えば、状況は良くありません。
数週間前、LastPass はブログで声明を発表し、次のことを共有しました。 違反を経験した. 当時、LastPassのCEOであるKarim Toubba氏は詳細には触れず、LastPassが利用しているサードパーティのクラウドストレージサービスでセキュリティインシデントが発生したことだけを共有した。 現在、会社は何が起こったのか詳細な内訳を発表しているが、それは良くない。
Toubba氏は再び同社のブログにアクセスし、この事件に関して判明したことを共有した。 投稿によると、今回の攻撃では顧客データは影響を受けなかったが、「ソースコードと技術情報」が盗まれたという。 残念ながら、攻撃者はこの情報を利用して従業員をターゲットにし、クラウドベースのストレージ サービス上の情報を復号してアクセスするために使用される資格情報とキーを入手しました。
ここから、攻撃者は「エンドユーザー名、請求先住所、電子メール アドレス、電話番号、IP アドレス」などのアカウント情報にアクセスできました。 さらに、暗号化された「Web サイトのユーザー名とパスワード、安全なメモ」を含む顧客保管庫データが取得されました。 フォームに入力されたデータ。」
それで、これは正確には何を意味するのかと自問するかもしれません。
さて、良いニュースと悪いニュースがあります。 良いニュースとしては、収集されたデータは暗号化されており、復号化するにはユーザーのマスター パスワードが必要です。 悪いニュースは、攻撃者に時間があれば、データを復号化するために必要なだけパスワードを試してみる可能性があることです。 LastPass は、これが可能性であることを認めていますが、パスワード自体が 複雑なもの.
LastPassはまた、顧客の不意を突いてマスターパスワードを抽出しようとするフィッシング攻撃がより一般的になる可能性があると警告している。 今できることといえば、常に気を引き締めてフィッシング攻撃の餌食にならないようにすることだけです。 いつもと違う、または疑わしいと思われる場合は、調べてください。 LastPass では、かなり長い間、少なくとも 12 文字のパスワードを要求してきました。 しかし、このような侵害は発生する可能性があり、実際に発生した場合には、状況が大きく変わります。
ただし同社は、複雑なパスワードを推測するには何百万年もかかるだろうと述べ、ある程度の保証を与えようとしている。 もちろん、暗号化されたデータを誰かが持っているため、これで安心する必要はありません。 LastPass は、将来の侵害を防ぐためにインフラストラクチャに変更を加え、リスクの高いビジネス顧客に指示を連絡しました。
ソース: ラストパス