サイバー泥棒によってLastPassから内部ソースコードと文書が盗まれました。
パスワードマネージャーメーカーは木曜日、誰かが同社の開発者アカウントの一つに侵入し、それを利用して独自のデータにアクセスしたと発表した。
セキュリティ業界の大物でマサチューセッツ州に拠点を置く同社は、ユーザーのパスワードは依然として安全であると主張し、盗難は約2週間前に発生したと付け加えた。GoTo傘下のLastPassは、2,500万人以上のユーザーと8万社の法人顧客を抱えていると言われている。
「不正アクセスされた単一の開発者アカウントを通じて、権限のない第三者がLastPass開発環境の一部にアクセスし、ソースコードの一部とLastPassの独自の技術情報を入手したことが判明した」とCEOのカリム・トゥバ氏は声明で述べた。
「弊社の製品およびサービスは通常通り稼働しております。」
トゥバ氏は次のように付け加えた。
侵入が明らかになったのは、LastPassのコンピュータネットワークの開発エリアで「何らかの異常な活動」が検知された後だと伝えられている。同社は、セキュリティ侵害を封じ込め、再発防止策を講じ、外部の情報セキュリティ専門家に支援を求めたと発表した。
パスワード管理ツールのメーカーは、ブラウザを使ってパスワードを管理する人がいるとは信じられない、と語る
続きを読む
最高経営責任者は、自社のネットワーク防御力を強化するためにさらなる措置を講じる可能性があると述べた。
LastPassは、ウェブサイトへのログインに使用するユーザー名とパスワードのペアを保存するソフトウェアボールトを提供しています。これにより、長くて複雑な文字列を大量に記憶する必要がなくなります。各ウェブサイトのアカウントごとに、解読が困難な固有のパスワードを作成し、ボールトに保存できます。これらの認証情報のロックを解除して使用するには、マスターパスフレーズが必要です。マスターパスフレーズを作成して覚えておくだけで済みます。
これらのマスターパスワードは依然として安全であり、侵入者によって侵害されたりアクセスされたりしておらず、ユーザーの金庫の内容も変更されていないとのことです。まず、LastPassはユーザーのマスターパスワードを知らず、コピーも保管していません。マスターパスワードはユーザーが記憶し、保護する必要があります。
落ち着いて落ち着いてください、というのがメッセージです。LastPassは声明で、「調査の結果、本番環境における顧客データへの不正アクセスの証拠は見つかりませんでした」と付け加えました。「現時点では、ユーザーや管理者の方々に何らかの措置を取ることを推奨しません。」
とはいえ、LastPassは長年にわたり、全く問題を抱えていなかったわけではありません。2019年には、ウェブサイトが他のサイトのアカウントのパスワードを盗むために悪用できるバグを修正し、2017年にはコードに深刻なパスワード漏洩の脆弱性が見つかりました。®
