LastPass がどのようにハッキングされたかを明らかに -- それは良いニュースではありません

昨年はパスワード マネージャー LastPass にとって特に悪い年でした。一連のハッキング事件により、堅固であると思われていたセキュリティの重大な弱点が明らかになりました。 現在、私たちはこれらの攻撃がどのように行われたのかを正確に知っています。そしてその事実は非常に驚くべきものです。

すべては 2022 年 8 月に始まり、LastPass が脅威アクターが アプリのソースコードを盗んだ. その後の 2 回目の攻撃では、ハッカーはこのデータを別のデータ侵害で見つかった情報と組み合わせ、LastPass の従業員が使用するリモート アクセス アプリの弱点を悪用しました。 これにより、会社の上級エンジニアのコンピュータにキーロガーをインストールすることができました。

コードを使用してシステムに侵入するハッカーの描写。
ゲッティイメージズ

キーロガーが設置されると、ハッカーはエンジニアの LastPass マスター パスワードを入手できます。 入力された内容により、従業員の金庫へのアクセスが許可され、そこに含まれているすべての秘密が保持されます。 内部。

関連している

  • ハッカーが別のパスワード マネージャーのマスター キーを盗んだ可能性があります
  • NordPass はパスキーのサポートを追加して脆弱なパスワードを排除します
  • ハッカーは LastPass の大規模なセキュリティ侵害を徹底的に調査しました

彼らはそのアクセスを使用して、ボールトの内容をエクスポートしました。 データの中には、LastPass のクラウド ストレージ システムに保存されている顧客のバックアップの暗号化を解除するために必要な復号キーが含まれていました。

おすすめ動画

LastPass は本番環境のバックアップと重要なデータベースのバックアップをクラウドに保存していたので、これは重要です。 大量の機密顧客データも盗まれたが、ハッカーはそれを解読できなかったようだ。 LastPass サポート ページの詳細 まさに何が盗まれたのか.

疑問のある透明性

LastPass ユーザーにとって幸運なことに、顧客の最も機密性の高いデータ ((ほとんどの) 電子メール アドレスやパスワードなど) はゼロ知識方式を使用して暗号化されていたようです。 つまり、各ユーザーのマスター パスワードから派生した、LastPass が認識できないキーで暗号化されていました。 ハッカーが LastPass データを盗んだとき、これらの復号キーは LastPass によってどこにも保存されていなかったため、取得できませんでした。

とはいえ、多くの重要なデータが脅威アクターによって盗まれました。 これには、LastPass の多要素認証データベース、API シークレット、顧客メタデータ、構成データなどが含まれます。 それと同様に、LastPass 以外にも多数の製品があるようです も侵害されました.

サポートページ, LastPassは、2回目の攻撃の実行方法は本物の従業員のログイン情報を使用したもので、検出が困難だったと述べた。 最終的に、同社は、AWS GuardDuty アラート システムが次のように警告したときに、何かが間違っていることに気づきました。 誰かが Cloud Identity and Access Management の役割を使用して、不正な実行を試みていました アクティビティ。

セキュリティハッキング侵害の警告を表示する大型モニター。
ストック・デポ/ゲッティイメージズ

LastPass はここ数カ月間、攻撃への対応をめぐって多くの批判を受けてきたが、今回の暴露を考慮してもその不支持は収まりそうにない。 実際、あるセキュリティ会社は、LastPass は信頼できるアプリではなく、ユーザーは次のように述べました。 別のパスワードマネージャーに切り替える.

現在、LastPass は、「」を追加することで、攻撃サポート ページを検索エンジンから隠そうとしているようです。」コードをページに追加します。 それはユーザー(そしてより広い世界)にとって何が起こったのかを知ることをさらに困難にするだけであり、透明性と説明責任の精神に基づいて行われているようには見えません。 会社のブログにも何も公開されていません。

LastPass の顧客の場合は、代替アプリを見つけたほうがよいでしょう。 幸いなことに、他にもたくさんあります 優れたパスワードマネージャー あなたの重要な情報を確実に保護することができます。

編集者のおすすめ

  • これらの恥ずかしいパスワードが有名人をハッキングした
  • いいえ、1Password はハッキングされませんでした – これが実際に起こったことです
  • この大規模なパスワード マネージャーのエクスプロイトは決して修正されない可能性があります
  • 2023 年の最高のパスワード マネージャー
  • LastPass を使用していますか? 急いで切り替える必要があるとセキュリティ会社が言う

ライフスタイルをアップグレードするDigital Trends は、読者が最新ニュース、楽しい製品レビュー、洞察力に富んだ社説、ユニークなスニーク ピークをすべて提供して、ペースの速いテクノロジーの世界を監視するのに役立ちます。

カテゴリ

最近

史上初の 256GB Surface Pro が Office 2013 と専用タッチ カバーとともに日本に登場

史上初の 256GB Surface Pro が Office 2013 と専用タッチ カバーとともに日本に登場

Best Buy では、手頃な価格で人気のブランドに焦点を当てているため、ラップトップのお買い...

Pebble、時計の最初のバッチを出荷

Pebble、時計の最初のバッチを出荷

の完全なレビューをご覧ください。 小石 スマートウォッチ。8 か月が経ち、ユーザーは Kick...

「ザ・ビューロー: XCOM 機密解除」は、アメリカの「黄金時代」を再訪し、汚点も含めてすべてを振り返る

「ザ・ビューロー: XCOM 機密解除」は、アメリカの「黄金時代」を再訪し、汚点も含めてすべてを振り返る

第二次世界大戦後、1960 年代後半の文化革命までの数年間が一般的に知られるようになりました。...

Privacy2024 © Tech Tips & Reviews. ALL Rights Reserved.

Tech Tips & Reviews