LastPass は、以前の侵害によって引き起こされた顧客データ侵害を認めています

タイムスタンプ:1年2022月8日10:XNUMX
ソースノード: 1765405

by
ポール・ダックリン

2022 年 XNUMX 月、人気のパスワード マネージャー企業である LastPass 入院 データ侵害。

かつて LogMeIn であったサービスとしてのソフトウェア ビジネス GoTo が所有する会社は、非常に簡潔でありながら有用なレポートを公開しました。 レポート 約XNUMXか月後のその事件について:

簡単に言えば、LastPass は、攻撃者が開発者のコ​​ンピューターにマルウェアを埋め込むことに成功したと結論付けました。

そのコンピューターに橋頭堡があれば、攻撃者は開発者が必要な多要素認証資格情報の提示を含む LastPass の認証プロセスを完了するまで待ち、それらを会社の開発システムに「テールゲート」することができたようです。

LastPass は、開発者のアカウントが犯罪者に顧客データへのアクセスを許可したり、実際に誰かの暗号化されたパスワード保管庫へのアクセスを許可したりしていないと主張しました.

ただし、同社は、詐欺師が LastPass の機密情報を盗んだことを認めました。 「ソースコードと技術情報の一部」、そして詐欺師は、発見されて追い出されるまでの XNUMX 日間、ネットワークに存在していました。

LastPass によると、同社のサーバーにバックアップされた顧客のパスワードは、クラウドに復号化された形で存在することはありません。 保存されたパスワードの暗号化を解除するために使用されるマスター パスワードは、自分のデバイスのメモリでのみ要求され、使用されます。 そのため、クラウドに保存されたパスワードはアップロード前に暗号化され、ダウンロード後にのみ再度復号化されます。 つまり、たとえパスワード保管庫のデータが盗まれたとしても、いずれにせよ判読できなかったでしょう。

最新の開発

ただし、2022 年 XNUMX 月末には、LastPass さらに認めた おそらく彼らが望んでいたよりも、物語にはもう少し多くのことがあった.

によると、 セキュリティ情報 2022 年 11 月 30 日付で、同社は最近、攻撃者によって再び侵害されました。 「2022年XNUMX月の事件で入手した情報を利用して」、そして今度は顧客データが盗まれました。

つまり、犯罪者が顧客の記録を掘り下げることができなかったとしても、 直接に XNUMX 月にマルウェアに感染した開発者のアカウントから、詐欺師はそれにもかかわらず、内部の詳細を盗んだようです。 間接的に 彼ら、または彼らがデータを販売した誰かに、後で顧客情報へのアクセスを与えました。

残念ながら、LastPass は、どのような種類の顧客データが盗まれたかについての情報をまだ提供していません。 「インシデントの範囲を理解し、アクセスされた特定の情報を特定するために熱心に取り組んでいます」.

LastPass が今 [2022-12-01-T23:30Z] 確実に言えることは、それを繰り返すことだけです。 「LastPass の Zero Knowledge アーキテクチャにより、お客様のパスワードは安全に暗号化されたままです。」

(ゼロ知識 は、LastPass が顧客のパスワード ボールトに何らかのデータを保持しているにもかかわらず、そのデータが実際に何を参照しているか、または実際にアカウント名とパスワードで構成されているかどうかさえ知らないという事実を反映した専門用語です。)

つまり、最終的に詐欺師が自宅の住所、電話番号、支払いカードの詳細などの個人情報を盗んだ可能性があることが判明したとしても (もちろん、そうではないことを願っています)、パスワードは依然として安全です。 LastPass のクラウド サービスが要求したり、コピーを保持したりすることはありません。

何をするか?

  • あなたがLastPassの顧客なら、 最新情報については、会社のセキュリティ インシデント レポートに注目することをお勧めします。
  • あなたがサイバーセキュリティの擁護者なら、 なぜ聞いてみませんか 専門家の助言 ソフォスのサイバーセキュリティ研究者であるチェスター ウィスニースキーが、この種の足場を固めてそこから攻撃を仕掛けてくる攻撃から自社の IT 資産を保護する方法について説明します。

以下のポッドキャストで( 完全な転写物 聞くよりも読む方が好きな場合)、チェスターは次のことについて説明します 似たような違反 それは 2022 年 XNUMX 月に配車事業 Uber で起こったことであり、専門用語でも知られる「分割統治」の理由を思い起こさせます。 ゼロトラスト、現代のサイバー防御の重要な部分です。

チェスターが説明しているように、すべての侵害が評判や収益に何らかの害を及ぼすとしても、詐欺師がアクセスした場合、結果は必然的にはるかに悪くなります。 一部 ネットワークにアクセスできるまで、好きな場所を自由に移動できます それの。

下の音波をクリックしてドラッグし、任意のポイントにスキップします。 あなたもすることができます 直接聞く Soundcloudで。

タイムスタンプ:

より多くの 裸のセキュリティ