/cdn.vox-cdn.com/uploads/chorus_asset/file/23262657/VRG_Illo_STK001_B_Sala_Hacker.jpg)
LastPass にはたくさんの機能があります 更新された発表 最近のデータ侵害について: すべてのパスワードを 1 つの安全な場所に保管することを約束している同社は、ハッカーが「顧客のボールト データのバックアップをコピーする」ことができたと言っています。盗まれた保管庫をクラックできれば (経由 TechCrunch)。
LastPass でパスワードとログイン情報を保存するために使用するアカウントを持っている場合、または以前にアカウントを持っていて、この秋まで削除していなかった場合、パスワード保管庫がハッカーの手に渡っている可能性があります。 それでも、強力なマスターパスワードと最新のデフォルト設定があれば安全かもしれないと同社は主張しています. ただし、マスターパスワードが弱い場合やセキュリティが低い場合は、「追加のセキュリティ対策として、保存した Web サイトのパスワードを変更してリスクを最小限に抑えることを検討する必要があります」と同社は述べています。
これは、LastPass が保存する信頼できるすべての Web サイトのパスワードを変更することを意味する場合があります。
LastPass は、パスワードは引き続きアカウントのマスター パスワードによって保護されていると主張していますが、これらの開示をどのように処理したかを考えると、現時点でその言葉を受け入れるのは困難です.
同社は 8 月に侵害があったと発表したとき、ユーザー データがアクセスされたとは考えていないと述べました。 その後、11 月に LastPass は侵入を検出したと発表しましたが、これは明らかに 8 月の事件で盗まれた情報に依存していたようです (8 月から 11 月の間にその可能性について聞いていればよかったのに)。 この侵入により、誰かが顧客情報の「特定の要素にアクセス」できるようになりました。 これらの「特定の要素」は、ご存知のように、LastPass が保存する最も重要で秘密のものでした。 同社は、「暗号化されていないクレジット カード データがアクセスされたという証拠はない」と述べていますが、ハッカーが実際に逃れたものよりも、それの方が望ましいと考えられます。 少なくとも、1 枚か 2 枚のカードをキャンセルするのは簡単です。
お客様のボールトのバックアップがクラウド ストレージからコピーされました
これがどのようにダウンしたかについては少し後で説明しますが、LastPass の CEO である Karim Toubba は、保管庫が奪われたことについて次のように述べています。
攻撃者は、暗号化されたストレージ コンテナーから顧客のボールト データのバックアップをコピーすることもできました。このストレージ コンテナーは、Web サイトの URL などの暗号化されていないデータと、 Web サイトのユーザー名とパスワード、安全なメモ、フォーム入力データなど、完全に暗号化された機密フィールド。
Toubba は、悪意のあるアクターがその暗号化されたデータ、つまりパスワードを入手できる唯一の方法は、マスター パスワードを使用することであると述べています。 LastPass によると、マスター パスワードにアクセスしたことは一度もありません。
そのため、再利用することのない非常に優れたマスター パスワードを使用している限り (そして、技術的な欠陥がない限り)、「マスター パスワードをブルート フォースで推測することは非常に困難です」と彼は言います。 LastPass はデータを暗号化しました — ただし、同社はいくつかの暗号化を行っています 以前のかなり基本的なセキュリティエラー)。 しかし、このデータを持っている人は誰でも、ランダムなパスワードを推測してロックを解除しようとする可能性があります。これはブルート フォースとも呼ばれます。
LastPass は、推奨されるデフォルトを使用すると述べています したほうがいい この種の攻撃からあなたを守りますが、誰かが何日、何ヶ月、何年にもわたってボールトのロックを解除しようとするのを防ぐような機能については何も言及していません. また、他の方法でユーザーのマスター パスワードにアクセスできる可能性もあります。誰かが他のログインにマスター パスワードを再利用した場合、別のデータ侵害で漏えいした可能性があります。
古いアカウント (2018 年以降に導入された新しいデフォルト設定より前) をお持ちの場合は、マスター パスワードを保護するために、より弱いパスワード強化プロセスが使用されている可能性があることにも注意してください。 LastPass によると、現在、「パスワードベースのキー導出関数の 100,100 回の反復の通常よりも強力な実装」を使用していますが、 ヴァージ スタッフは以前のアカウントを使用して確認しました リンク 同社はブログに、アカウントが 5,000 回の繰り返しに設定されていることを伝えました。
おそらく、より懸念されるのは、暗号化されていないデータです。URL が含まれていることを考えると、ハッカーは、あなたがどの Web サイトにアカウントを持っているかを知ることができます. 特定のユーザーを標的にすることにした場合、フィッシングやその他の種類の攻撃と組み合わせると、強力な情報となる可能性があります。
もし私が LastPass の顧客だったら、会社がこの情報を開示した方法に満足できないでしょう
いずれも素晴らしいニュースではありませんが、理論的には、クラウドに機密情報を保存している企業に起こり得ることです。 サイバーセキュリティでは、ゲームの名前が 100% 完璧な実績を持っているわけではありません。 それは、災害が発生したときにどのように反応するかです。
そして、これは、私の意見では、LastPass が完全に失敗した場所です。
今日、12 月 22 日にこの発表を行っていることを思い出してください。クリスマスの 3 日前であり、多くの IT 部門が主に休暇を取り、人々がパスワード マネージャーからの更新に注意を払っていない可能性が高い時期です。
(また、アナウンスは、保管庫がコピーされるという部分には到達しません。 5つの段落. 一部の情報は太字になっていますが、そのような主要な発表が一番上にあると予想するのは当然だと思います。)
LastPass は、ボールトのバックアップは 8 月に最初に侵害されなかったと述べています。 代わりに、その話は、攻撃者がその侵害からの情報を使用して、サードパーティのクラウド ストレージ サービスにアクセスできる従業員を標的にしたというものです。 ボールトは、「基本的な顧客アカウント情報と関連するメタデータ」を含むバックアップと共に、そのクラウド ストレージでアクセスされるボリュームの 1 つに保存され、そこからコピーされました。 LastPass によると、これには「会社名、エンドユーザー名、請求先住所、電子メール アドレス、電話番号、顧客が LastPass サービスにアクセスする際に使用した IP アドレス」などが含まれます。
Toubba 氏によると、同社は最初の侵害と、バックアップを公開した 2 回目の侵害の結果として、将来の疑わしい活動を検出するためのログの追加、開発環境の再構築、資格情報のローテーションなど、あらゆる種類の予防措置を講じているという。
それはすべて良いことであり、それらのことを行う必要があります。 しかし、もし私が LastPass ユーザーだったら、この時点で会社から離れることを真剣に検討するでしょう。なぜなら、ここでは 2 つのシナリオのいずれかを見ているからです: ユーザーのボールトを含むバックアップがオンになっていることを会社が知らなかった11 月 30 日に異常なアクティビティを検出したと発表したときのクラウド ストレージ サービス、または した ハッカーがアクセスした可能性について顧客に知らせないことを選択しました。 どちらも見栄えはよくありません。