パスワード管理サービス ラストパス 木曜日に、についての詳細を明らかにしました 11月の違反、基本的な顧客情報が公開されていることを確認しましたが、パスワードやクレジット カードの詳細などの重要なデータは公開されていません。
11 月末の侵害は、LastPass のバックエンド コード ベースの 1 つに悪意のある人物が侵入した 8 月の古い侵害に起因しています。 彼らは会社のデータを盗み、最近それを使用して別の LastPass データベースに侵入し、名前、電子メール アドレス、請求先住所、電話番号、IP アドレスなどの暗号化されていない顧客データを取得しました。 暗号化されていないクレジット カード データは公開されませんでした。
ユーザー名やパスワードなどのより機密性の高いデータも盗まれましたが、LastPass のサーバーには保存されていないマスター パスワードの背後でデフォルトで暗号化されているため、公開される可能性はほとんどありません。
他のサイトへのログインにマスター パスワードが使用されている場合や、フィッシングやソーシャル エンジニアリング スキームの餌食になっている場合など、ユーザーがマスター パスワードを推測しやすくしている場合、他の悪意のある人物がその機密データにアクセスする可能性があります。 LastPass のベスト プラクティスに従ってマスター パスワードを設定した場合は、 ブログ投稿 違反を開示すると、推測するのに「数百万年」かかるでしょう。
ハッキングはますます一般的になりつつありますが、このイベントは現代のサイバー犯罪に関する 2 つの重要なポイントを示しました。 第一に、典型的なユーザーに影響を及ぼさない最初の侵害が別の侵害につながる可能性があること、そして第二に、LastPass がユーザー マスター パスワードを保存しないという決定を下したことは、盗まれた企業情報が暗号化されたユーザー データに侵入できないことを意味するということです (少なくとも今のところ)。みなさんご存じのとおり。