パスワード管理ソフトウェア LastPass の開発者は、いくつかの懸念すべきニュースを発表しました。最近のセキュリティ侵害で、悪意のある者が「顧客情報の要素」にアクセスすることができました。
LastPass がセキュリティインシデントに見舞われるのはここ数カ月で 2 回目であり、この 2 つの出来事は直接関連しているようです。それは、LastPassの開発者らが、不正当事者が「2022年8月の事件で得られた情報を使用して」顧客データにアクセスできたと述べているためだ。
このエピソードを知らない人のために説明すると、ハッカーは LastPass のソース コードの一部に アクセスして盗むことに成功しました。同社は当時顧客データは盗まれなかったと述べたが、今回はソースコードがハッカーによる個人情報へのアクセスを許可していたようだ。
実際、同社は「現在 LastPass とその関連会社 GoTo の両方で共有されているサードパーティのクラウド ストレージ サービス内で異常なアクティビティ」を検出したときに侵害について警告を受けました。
あなたのパスワードは安全です
幸いなことに、いくつかの良いニュースがあります。顧客のパスワードは安全であるようで、完全に暗号化されたままです。これは、LastPass の Zero Knowledge 構造のおかげです。これは、基本的に、マスター パスワードとボールト内に保存されているデータにアクセスできるのはユーザーだけであることを意味します。LastPass の開発者ですらアクセスすることはできません。この種のファイアウォールが設置されているため、ハッカーはパスワードや重要なアカウント データを盗むことができませんでした。
それでも、LastPass とそのユーザーの両方にとって、これは憂慮すべき展開です。人々は、デジタル アカウントのキーだけでなく、非常に機密性の高い情報を パスワード マネージャー に保存しています。 LastPass は、クレジット カード情報、個人的なメモ、および覗き見のないように保管する必要があるその他のデータを安全に保管するためにも使用できます。
その間、LastPass はセキュリティ会社 Mandiant と協力して、この最新のセキュリティ侵害で何が起こったのかを正確に解明しています。法執行機関にも通報があり、独自の捜査が行われることは間違いない。
LastPass は、「製品とサービスは引き続き完全に機能する」ことをユーザーに安心させ、 LastPass Web サイトの手順 に従ってアカウントのセットアップと構成のベスト プラクティスに従うよう推奨しています。同社は、「さらなる情報が得られ次第」さらに最新情報を掲載すると約束した。