本日、 オンライン セキュリティのために同社の製品を利用している顧客に対してその事件について説明した ブログ投稿 でデータ侵害を確認しました。ただし同社は、この侵害では顧客データが盗まれたわけではなく、ユーザーは自分のデータを保護するために何もする必要はないと強調した。
CEOのKarim Toubba氏が書いた投稿の中で、LastPassは次のように述べています。
「2 週間前、LastPass 開発環境の一部で異常なアクティビティが検出されました。直ちに調査を開始した結果、このインシデントに顧客データや暗号化されたパスワード保管庫へのアクセスが関与したという証拠は見つかりませんでした。」
この侵害は、侵害された開発者のアカウントを通じて発生し、無許可の当事者が会社のソース コードの一部と独自の LastPass 技術情報を盗み出しました。
Toubba 氏は、ユーザー情報は安全であり、無許可の人物がパスワードを侵害したり、ユーザー保管庫にアクセスしたりすることはないと強調しました。
現時点でデータが盗まれていないことがわかって安心しましたが、盗まれたソースコードと機密情報は重大な問題となり、後の侵害の試みにつながる可能性があります。 LastPass はこの可能性を認識しているようで、Toubba 氏は後で同社が「大手サイバーセキュリティおよびフォレンジック会社」を雇ったと付け加えた。
これは、LastPass が昨年経験した 2 回目のデータ問題です。 12 月には、一部の LastPass ユーザーが個人保管庫にアクセスしようとしたハッカーによる「クレデンシャル スタッフィング攻撃」を受けました。同社によると、この攻撃でアカウントが侵害された人はいなかったという。
LastPass は、何が起こったのかについて詳しく知り次第、顧客に最新の情報を提供すると述べています。
数週間前の侵害は開発環境で発生したため、消費者のパスワードが危険にさらされることはありませんでした。ユーザーのパスワードは、ユーザーのマスター パスワードによってのみアクセスできる暗号化された保管庫に隠されています。 LastPass は、 最も優れたパスワード マネージャー の 1 つと考えられています。