LastPass、8 月の不正アクセスに関する調査の続報を発表 6
ストーリー by nagazou
続報 部門より
続報 部門より
headless 曰く、
LastPass が 8 月に発生した不正アクセスの調査について続報を発表している (The LastPass Blog の記事、 Ghacks の記事)。
不正アクセスは開発者アカウントの一つが侵害され、開発環境の一部が侵入を受けたというもの。LastPass がサイバーセキュリティ企業 Mandiantと協力して進めていた調査は完了しており、不正アクセスは 4 日間に限られることが確認できているという。最初のエンドポイント侵害手法について結論は出ていないものの、攻撃者は開発者が多要素認証に成功してから継続的になりすましを続けたとのこと。
LastPass では不正アクセスが開発環境に限られ、顧客データにアクセスされた痕跡はないと説明していたが、根拠は示していなかった。今回の発表では、開発環境がプロダクション環境と物理的に分離していて直接接続する手段がないこと、開発環境に顧客データや暗号化されたパスワード保管庫は含まれないこと、LastPass は顧客のマスターパスワードを保持していないため、パスワード保管庫を復号できるのはオーナーのみであること、を挙げている。
また、攻撃者がソースコードに悪意あるコードを挿入しようとした痕跡はないが、開発者の権限では開発環境からプロダクション環境にソースコードをプッシュすることもできないとのこと。LastPass では今回の問題を受け、エンドポイントのセキュリティコントロールと監視の強化を含むセキュリティ強化をデプロイしたとのことだ。
おふとぴ (スコア:0)
>セキュリティ強化をデプロイ
「デプロイのセキュリティ強化」というのを聞いた事ありますが
「セキュリティ強化をデプロイ」というのは初めて聞いたような。
これって一般的な表現なのでせうか? それとも逸般的??
またか (スコア:0)
2011年2月26日クロスサイトスクリプティング(XSS)によりメール アドレス、パスワード リマインダーが漏えいする脆弱性発覚
2011年5月3日パスワードのハッシュがLastPassのサーバーから流出
2015年6月15日LastPassアカウントのメールアドレス、パスワードリマインダー、サーバーソルト、認証ハッシュが侵害
2016年7月27日ユーザーボールトから任意のドメインの平文パスワードを読み取れる脆弱性発覚
2017年3月21日LastPass Chrome拡張機能にパスワード漏洩の脆弱性発覚
2017年3月25日リモートでコードを実行できる脆弱性発覚
2019年8月30日ChromeとOperaの拡張機能に過去にアクセスしたサイトのユーザー名とパスワードを取得できる脆弱性発覚
2020年1月20日LastPassで大規模なサービス障害
2021年12月28日LastPassユーザーのマスターパスワードが漏洩
2022年8月25日LastPassのソースコードが盗まれる←NEW
絶対使わないってさ
KeePass「無料です。オープンソースです。マルチプラットフォームです。どこにでもデータ置けます」 (スコア:0)
わざわざLastPassを使う理由は?
Re: KeePass「無料です。オープンソースです。マルチプラットフォームです。どこにでもデータ置 (スコア:1)
LastPassはデータの置き場所を提供してくれるし開発者やサポート人員を雇用している
KeePassはデータの置き場所は自分で用意しないといけないし開発力は弱いしスマホ版なんか3rd-partyクライアントを使うことになるから信頼できない
Re: (スコア:0)
アフィカスの小遣い稼ぎで紹介してるだけか、その宣伝に乗せられたカモでしょ。
VPN業界とやってること同じ。
Re: (スコア:0)
単に、責任でしょ。
企業がセキュリティ関係で何かトラブったとして、
実際それで身につまされるほど困るのは責任者ぐらいだもの。