パスワードを忘れた? アカウント作成
15795204 story
スラッシュバック

LastPass、8 月の不正アクセスに関する調査の続報を発表 6

ストーリー by nagazou
続報 部門より
headless 曰く、

LastPass が 8 月に発生した不正アクセスの調査について続報を発表している (The LastPass Blog の記事Ghacks の記事)。

不正アクセスは開発者アカウントの一つが侵害され、開発環境の一部が侵入を受けたというもの。LastPass がサイバーセキュリティ企業 Mandiantと協力して進めていた調査は完了しており、不正アクセスは 4 日間に限られることが確認できているという。最初のエンドポイント侵害手法について結論は出ていないものの、攻撃者は開発者が多要素認証に成功してから継続的になりすましを続けたとのこと。

LastPass では不正アクセスが開発環境に限られ、顧客データにアクセスされた痕跡はないと説明していたが、根拠は示していなかった。今回の発表では、開発環境がプロダクション環境と物理的に分離していて直接接続する手段がないこと、開発環境に顧客データや暗号化されたパスワード保管庫は含まれないこと、LastPass は顧客のマスターパスワードを保持していないため、パスワード保管庫を復号できるのはオーナーのみであること、を挙げている。

また、攻撃者がソースコードに悪意あるコードを挿入しようとした痕跡はないが、開発者の権限では開発環境からプロダクション環境にソースコードをプッシュすることもできないとのこと。LastPass では今回の問題を受け、エンドポイントのセキュリティコントロールと監視の強化を含むセキュリティ強化をデプロイしたとのことだ。

  • by Anonymous Coward on 2022年09月20日 17時40分 (#4329416)

    >セキュリティ強化をデプロイ
    「デプロイのセキュリティ強化」というのを聞いた事ありますが
    「セキュリティ強化をデプロイ」というのは初めて聞いたような。
    これって一般的な表現なのでせうか? それとも逸般的??

    ここに返信
  • by Anonymous Coward on 2022年09月20日 18時14分 (#4329442)

    2011年2月26日クロスサイトスクリプティング(XSS)によりメール アドレス、パスワード リマインダーが漏えいする脆弱性発覚
    2011年5月3日パスワードのハッシュがLastPassのサーバーから流出
    2015年6月15日LastPassアカウントのメールアドレス、パスワードリマインダー、サーバーソルト、認証ハッシュが侵害
    2016年7月27日ユーザーボールトから任意のドメインの平文パスワードを読み取れる脆弱性発覚
    2017年3月21日LastPass Chrome拡張機能にパスワード漏洩の脆弱性発覚
    2017年3月25日リモートでコードを実行できる脆弱性発覚
    2019年8月30日ChromeとOperaの拡張機能に過去にアクセスしたサイトのユーザー名とパスワードを取得できる脆弱性発覚
    2020年1月20日LastPassで大規模なサービス障害
    2021年12月28日LastPassユーザーのマスターパスワードが漏洩
    2022年8月25日LastPassのソースコードが盗まれる←NEW
    絶対使わないってさ

    ここに返信
typodupeerror

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

読み込み中...