LastPass는 몇 달 전에 발생한 위반에 대해 장문의 성명을 발표했습니다. 간단히 말해서 상황이 좋지 않습니다.
몇 주 전, LastPass는 블로그에 성명을 발표하여 다음과 같은 사실을 공유했습니다. 위반을 경험했습니다. 당시 LastPass의 CEO인 Karim Toubba는 모든 세부 사항을 다루지 않고 LastPass가 활용하는 타사 클라우드 스토리지 서비스에서 보안 사고가 발생했다는 사실만 공유했습니다. 지금 회사에서는 무슨 일이 일어났는지 자세히 설명하고 있는데, 좋지 않네요.
Toubba는 다시 한 번 회사 블로그를 방문하여 사건과 관련하여 발견한 내용을 공유했습니다. 게시물에 따르면 이번 공격에서 고객 데이터는 영향을 받지 않았지만 '소스코드 및 기술정보'가 도난당했다. 불행하게도 공격자는 이 정보를 이용해 직원을 표적으로 삼아 클라우드 기반 스토리지 서비스의 정보를 해독하고 액세스하는 데 사용되는 자격 증명과 키를 획득했습니다.
여기에서 공격자는 "최종 사용자 이름, 청구서 수신 주소, 이메일 주소, 전화번호 및 IP 주소와 같은 계정 정보에 접근할 수 있었습니다. 고객은 LastPass 서비스에 액세스하고 있었습니다." 또한 암호화된 "웹사이트 사용자 이름 및 비밀번호, 보안 메모 및 양식으로 채워진 데이터입니다."
그렇다면 이 모든 것이 정확히 무엇을 의미하는지 스스로에게 물어볼 수도 있습니다.
좋은 소식과 나쁜 소식이 있습니다. 좋은 소식은 수집된 데이터가 암호화되었으며 해독하려면 사용자의 마스터 비밀번호가 필요하다는 것입니다. 나쁜 소식은 공격자가 시간이 있으면 데이터를 해독하는 데 필요한 만큼 많은 암호를 시도할 수 있다는 것입니다. LastPass는 이것이 가능하다는 점을 인정하지만 암호 자체가 암호인 한 "매우 어렵다"고 명시합니다. 복잡한 것.
LastPass는 또한 고객을 감시하고 마스터 비밀번호를 추출하려는 시도로 피싱 공격이 점점 더 일반화되기 시작할 수 있다고 경고합니다. 지금 할 수 있는 일은 정신을 바짝 차리고 피싱 시도의 희생양이 되지 않는 것입니다. 평범하지 않거나 의심스러운 경우 조사해 보세요. LastPass는 꽤 오랫동안 최소 12자의 비밀번호를 요구했습니다. 그러나 이와 같은 위반이 발생할 수 있으며, 그렇게 되면 실제로 상황을 올바른 관점으로 볼 수 있습니다.
하지만 회사는 복잡한 비밀번호를 시도하고 추측하는 데 수백만 년이 걸릴 것이라고 말하면서 어느 정도 확신을 주려고 노력하고 있습니다. 물론 암호화된 데이터를 가지고 있는 누군가가 있기 때문에 이것이 마음을 편하게 해서는 안 됩니다. LastPass는 향후 침해를 방지하기 위해 인프라를 변경했으며 위험도가 높은 비즈니스 고객에게 지침을 전달했습니다.
원천: 라스트패스