Why did I hear about this in the media first? Emails have been sent to all users regarding the security incident. Notifying millions of users via email takes time. 従って, we also announced the security alert to our blog and our social accounts in real-time, and the media quickly picked up the story.
日本語サイトは突っ込みどころ満載 (スコア:2)
公式サイトの日本語版でまともな日本語で書かれているのはトップページの
先頭3分の1程度ですね。
ブラウザで最初に表示される領域以外は意味不明な機械語翻訳です。
https://lastpass.com/ja/ [lastpass.com]
今回のセキュリティ事故に関する問題は日本語サイトでは表示されていません。
「パスワードニュース」と書かれている空白の領域が本来はセキュリティ情報の
表示がある場所です。
英語表示にするとトップページの下のほうにリンクがあります。
https://blog.lastpass.com/ja/2015/06/lastpass-security-notice.html/ [lastpass.com]
主旨としてはこんなことが書かれてます。
・暗号化されたユーザーデータが漏洩しました。
・漏洩したデータにはユーザー名とマスターパスワードがセットで含まれています。
・強力な暗号化アルゴリズムで暗号化しているので復元は困難です。
・でも簡単なマスターパスワードは総当りでバレる可能性が高い。
・安全性が必要なサイトはパスワード認証に頼らず、他要素認証を利用してください。
Re: (スコア:0)
LastPassユーザーだけど、
スラド読むまで全く知らなかったよ!
つーか流出が解ったんならまずユーザーにメール送るなり、
アドオン入れさせてんだからそっから警告出すなり、してよ!
幾ら平文形式での流出じゃないっても、
念のためマスターパスワードを変えさせるとか、させるべきじゃないの?
元からEC系とか重要なサイトには使ってなかったので自分としては被害は小さいけど、
今回の件は流出そのものよりユーザーへの配慮の方で信頼ガタ落ちだわ。
Re:日本語サイトは突っ込みどころ満載 (スコア:1)
メールは送ってるらしいですよ。
親コメのブログから引用。
svn-init() {
svnadmin create .svnrepo
svn checkout file://$PWD/.svnrepo .
}
Re:日本語サイトは突っ込みどころ満載 (スコア:1)
PDTで15日の17時ぐらいに(JSTだと16日の10時ぐらい)メール来てます。
メールは英文ですが、それによると
・新しいデバイスやIPアドレスからのログイン時にはメールでの確認を行う
・マスターパスワードを変えるように促す
とかいったことが書いてあります。
信頼ガタ落ちってほどではないんでは?
Re: (スコア:0)
暗号化済みのユーザデータ(パスワードリスト)は漏れてないって言ってるるように読めるけど。
漏れたのは、ユーザデータをリクエストする際の認証に必要なマスターパスワードのハッシュ。
他要素認証を使用しておらずユーザがパスワードを変更する前にハッシュから原像が復元された上で、
IPアドレスの変動警告による認証を突破されるとそのユーザのパスは丸裸になる、筈。
IPアドレスの変動警告による認証が最後の砦、かなぁ…
# 実は暗号化済みユーザーデータも漏れてましたというオチはあり得るのでそこは心配。
# その場合総当りで開封するだけで全部丸裸だから長期的に見れば全て突破されたとも言える。