パスワードを忘れた? アカウント作成
15795204 story
スラッシュバック

LastPass、8 月の不正アクセスに関する調査の続報を発表 6

ストーリー by nagazou
続報 部門より
headless 曰く、

LastPass が 8 月に発生した不正アクセスの調査について続報を発表している (The LastPass Blog の記事Ghacks の記事)。

不正アクセスは開発者アカウントの一つが侵害され、開発環境の一部が侵入を受けたというもの。LastPass がサイバーセキュリティ企業 Mandiantと協力して進めていた調査は完了しており、不正アクセスは 4 日間に限られることが確認できているという。最初のエンドポイント侵害手法について結論は出ていないものの、攻撃者は開発者が多要素認証に成功してから継続的になりすましを続けたとのこと。

LastPass では不正アクセスが開発環境に限られ、顧客データにアクセスされた痕跡はないと説明していたが、根拠は示していなかった。今回の発表では、開発環境がプロダクション環境と物理的に分離していて直接接続する手段がないこと、開発環境に顧客データや暗号化されたパスワード保管庫は含まれないこと、LastPass は顧客のマスターパスワードを保持していないため、パスワード保管庫を復号できるのはオーナーのみであること、を挙げている。

また、攻撃者がソースコードに悪意あるコードを挿入しようとした痕跡はないが、開発者の権限では開発環境からプロダクション環境にソースコードをプッシュすることもできないとのこと。LastPass では今回の問題を受け、エンドポイントのセキュリティコントロールと監視の強化を含むセキュリティ強化をデプロイしたとのことだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2022年09月20日 17時40分 (#4329416)

    >セキュリティ強化をデプロイ
    「デプロイのセキュリティ強化」というのを聞いた事ありますが
    「セキュリティ強化をデプロイ」というのは初めて聞いたような。
    これって一般的な表現なのでせうか? それとも逸般的??

  • by Anonymous Coward on 2022年09月20日 18時14分 (#4329442)

    2011年2月26日クロスサイトスクリプティング(XSS)によりメール アドレス、パスワード リマインダーが漏えいする脆弱性発覚
    2011年5月3日パスワードのハッシュがLastPassのサーバーから流出
    2015年6月15日LastPassアカウントのメールアドレス、パスワードリマインダー、サーバーソルト、認証ハッシュが侵害
    2016年7月27日ユーザーボールトから任意のドメインの平文パスワードを読み取れる脆弱性発覚
    2017年3月21日LastPass Chrome拡張機能にパスワード漏洩の脆弱性発覚
    2017年3月25日リモートでコードを実行できる脆弱性発覚
    2019年8月30日ChromeとOperaの拡張機能に過去にアクセスしたサイトのユーザー名とパスワードを取得できる脆弱性発覚
    2020年1月20日LastPassで大規模なサービス障害
    2021年12月28日LastPassユーザーのマスターパスワードが漏洩
    2022年8月25日LastPassのソースコードが盗まれる←NEW
    絶対使わないってさ

    • LastPassはデータの置き場所を提供してくれるし開発者やサポート人員を雇用している
      KeePassはデータの置き場所は自分で用意しないといけないし開発力は弱いしスマホ版なんか3rd-partyクライアントを使うことになるから信頼できない

      親コメント
    • by Anonymous Coward

      アフィカスの小遣い稼ぎで紹介してるだけか、その宣伝に乗せられたカモでしょ。
      VPN業界とやってること同じ。

    • by Anonymous Coward

      単に、責任でしょ。

      企業がセキュリティ関係で何かトラブったとして、
      実際それで身につまされるほど困るのは責任者ぐらいだもの。

typodupeerror

ソースを見ろ -- ある4桁UID

読み込み中...