アンバー・ニーリー
· 1分で読めます
LastPass は、8 月のデータ侵害によりハッカーがユーザーの名前、住所、暗号化されたパスワード データ ボールトにアクセスできたことをユーザーに通知しました。
11月30日、LastPassはユーザーに対し、ユーザーデータの盗難につながった8月の「セキュリティインシデント」を調査中であると通知した。
現在、LastPass の CEO である Karim Toubba 氏が、盗まれた情報の範囲をユーザーに知らせるブログを投稿しました。
「これまでに、クラウドストレージのアクセスキーとデュアルストレージコンテナの復号化キーが入手された後、脅威の攻撃者は、会社名、エンドユーザー名、請求先住所、メールアドレス、電話番号、顧客がLastPassサービスにアクセスしていたIPアドレスなど、基本的な顧客アカウント情報と関連メタデータを含むバックアップから情報をコピーしたことが判明しました」とブログ投稿には記されている。
ハッカーは顧客の保管庫データのコピーも作成しました。同社は、このデータは「独自のバイナリ形式で保存されている」と主張しています。ウェブサイトのURLなど、一部の保管庫データは暗号化されていません。ユーザー名やパスワードなどの他のデータは「256ビットAES暗号化で保護」されており、同社はハッカーによる解読は不可能だと主張しています。
「(暗号化されたデータは)ゼロナレッジアーキテクチャを用いて各ユーザーのマスターパスワードから生成された固有の暗号鍵でのみ復号可能です」とトゥッバ氏は記している。「マスターパスワードはLastPassには一切知られておらず、LastPassによって保存・管理されることもありません。」
同社は、ハッカーがデータを解読できる可能性は非常に低いと主張しているが、フィッシングやソーシャルエンジニアリング攻撃の標的になる可能性があるとユーザーに対して警告している。
LastPass は過去にもセキュリティ対策に疑問が残るとして非難を浴びてきた。
2021年12月、LastPassの会員から、正しいマスターパスワードを使用した複数のログイン試行が複数の場所から報告されました。同社は、攻撃は第三者による侵害で漏洩したパスワードによるものだと顧客に保証しました。
2021年2月、セキュリティ研究者がLastPass Androidアプリ内に7つのトラッカーを発見しました。
