LastPass は、8 月のデータ侵害により、ハッカーがユーザーの名前、住所、暗号化されたパスワードのデータ保管庫にアクセスできるようになったとユーザーに通知しています。
11 月 30 日、LastPass通知されたユーザーユーザーデータの盗難につながる8月の「セキュリティインシデント」を調査していると発表した。
さて、LastPass CEOのKarim Toubba氏が次のように投稿しました。ブログ何が盗まれたのかをユーザーに知らせます。
「これまでのところ、クラウド ストレージ アクセス キーとデュアル ストレージ コンテナの復号キーを取得すると、攻撃者は基本的な顧客アカウント情報と、企業名、エンドユーザー名、請求先住所などの関連メタデータを含む情報をバックアップからコピーしたと判断しています。 、電子メール アドレス、電話番号、顧客が LastPass サービスにアクセスしていた IP アドレス」とブログ投稿には書かれています。
ハッカーは顧客の保管庫データのコピーも作成したが、同社はそれが「独自のバイナリ形式で保存されている」と維持している。 Web サイトの URL など、一部のボールト データは暗号化されません。ユーザー名やパスワードなどのその他のデータは「256ビットAES暗号化で保護」されており、ハッカーによって復号化されることはないと同社は主張している。
「[暗号化されたデータ] は、当社のゼロ知識アーキテクチャを使用して各ユーザーのマスター パスワードから導出された一意の暗号化キーでのみ復号化できます」と Toubba 氏は書いています。 「念のため言っておきますが、マスター パスワードは LastPass に決して知られることはなく、LastPass によって保存または管理されることはありません。」
同社はハッカーがデータを復号できる可能性は非常に低いと主張する一方、フィッシングやソーシャルエンジニアリング攻撃の標的になる可能性があるとユーザーに警告している。
LastPass は過去に、セキュリティ慣行に問題があるとして批判を受けてきました。
2021 年 12 月、LastPass メンバーは次のように報告しました。複数回のログイン試行さまざまな場所から正しいマスター パスワードを使用します。同社は、攻撃はサードパーティの侵害によってパスワードが漏洩した結果であると顧客に保証しました。
2021 年 2 月、セキュリティ研究者7人の追跡者を発見したLastPass Android アプリ内で。
Isamu 
Isamu 
Isamu