今週初め、LastPass は「最近のセキュリティ インシデント」についてユーザーに通知し始めました。この事件では、「権限のない者」が侵害された開発者アカウントを使用して、パスワード マネージャーのソース コードの一部と「LastPass の独自技術情報」にアクセスしました。 の ユーザーへの手紙同社の CEO である Karim Toubba 氏は、調査の結果、ユーザー データや暗号化されたパスワードがアクセスされたという証拠は見つからなかったと説明しています。
Toubba は、2 週間前に検出された侵害を封じ込めた後、同社が「追加の強化されたセキュリティ対策を実装した」と説明し続けています。 同社は、侵害が検出されるまでの期間についてはコメントしていません。
LastPass が説明しているように、この時点でユーザーは何もする必要はありません。マスター パスワードを変更して完全なセキュリティ監査を行うために午後を費やす理由はありません。 一方、LastPass はおそらく、権限のない第三者がそのソース コードにアクセスできるようになった今、変更を加える必要がないようにするための作業が必要です。
はっきりさせておくと、ハッカーがプログラムのソース コードにアクセスできるからといって、すぐにそのプログラムを pwn して防御を突破できるわけではありません。 有名なことに、Microsoft は、セキュリティのためにソース コードを非公開のままにしておくことに依存しておらず、人々がそれを読むことができることはリスクであってはならないと述べています (これは、そのソース コードが 漏れる 多く)。 それはどの企業にも当てはまるはずですが、特に契約全体がパスワードを安全に保つことになっている企業には当てはまりますが、私はおそらく、会社がコードを徹底的に調べて、見逃した微妙な脆弱性がないことを確認することを望んでいます.私は LastPass の顧客でした。
この侵害は同社のセキュリティ問題に対する危険信号ではないように見えるという事実にもかかわらず、評判に苦しんでいるパスワード マネジャーにとっては、まだ見栄えがよくありません. それはまさに最新のラインです の LastPass のインシデント (ソフトウェアの Wikipedia ページは 大きく含まれる 「セキュリティの問題」というタイトルのセクションの)、そして同社はまた、2021年初頭に無料利用枠を大幅に使い物にならないように変更したことで、多くのユーザーの怒りを買った.