LastPass は 30 か月で 回目のハッキングを受けました。 世界中で万人以上が利用しています。 パスワード マネージャーの LastPass は、ハッカーがユーザーのパスワードの暗号化されたコピーや、ユーザーの請求先住所、電話番号、IP アドレスなどの機密データを盗んだことを認めています。 まず、システムがハッキングされたのは 月で、 月末から 月初めには、盗まれたデータに関する情報が表示され、現在、同社のブログで詳細が公開されています。
パスワード マネージャーの LastPass がハッキングされました。これはハッカー自身にとって非常に成功したことが証明されており、ユーザーのデータにアクセスすることができましたが、正確には何なのかはまだわかっていません。 サービスのユーザーがプロファイルに保存したパスワードにアクセスできるようになった可能性があります。
LastPass のハッキングとユーザー データの侵害に関する情報は、サービス自体の担当者によっても確認されました。 ただし、漏洩の範囲と最終的に攻撃者の手に渡った情報の性質の両方を慎重に隠しているため、現時点では、世界中の何百万人もの人々であるすべての LastPass ユーザーが危険にさらされています. EarthWeb ポータルによると、2022 年 33 月の時点で、LastPass のユーザー ベースは 万人に達しています。
資料が公開されるまでに、LastPass の担当者は確認はしませんでしたが、個人のオンライン ストレージにあるユーザーのパスワードが漏洩したことを否定しませんでした。 ただし、ハッカーの攻撃によってそのような結果になるリスクがあります。 さらに、LastPass が 14 年間に 回以上パスワードの漏洩を許可してきたという事実を考慮すると、この場合のリスクは高くなります。
何をすればよいでしょうか?
ユーザーが最初に行う必要があるのは、クラウドに保存されているパスワードを確認し、攻撃者が特定のパスワードに到達する前にできるだけ早く変更することです。 たとえば、多くの人は、インターネット バンクや企業の電子メールのパスワードをそのようなマネージャーに保存しています。
番目のステップは、LastPass の代替ではないにしても、オフラインで動作するパスワード マネージャーの中から少なくともバックアップ用のパスワード マネージャーを見つけることです。 このようなプログラムは、パスワードのデータベースをユーザーのデバイスに (多くの場合、暗号化された形式で) 直接保存するため、内容が漏洩するリスクが大幅に軽減されます。
パスワード マネージャーを使用すると、ユーザーは自分のユーザー名とパスワードを異なるサイトの か所に保存でき、ユーザーが作成したマスター パスワードでアクセスできます。 ラスト パスは、マスター パスワードを保存または破棄しません。 その他の暗号化されたデータは、「ユーザーのマスター パスワードから取得した一意の暗号化キー」を使用してのみ取得できます。 ただし、同社は、顧客がソーシャル エンジニアリング、フィッシング、およびその他の情報取得方法の被害者になる可能性があると警告しました。 さらに、ハッカーはブルート フォース攻撃を使用してマスター パスワードを取得し、暗号化されたストレージにある他のデータを解読することができます。 ただし、LastPass は、攻撃者が公開されているハッキング手法を使用してパスワードを推測するには、「数百万年」かかると主張しています。
同社によると、サイバー セキュリティを提供する Mandiant がこの事件を調査しており、LastPass 自体が作業環境全体を完全に再構築しています。これは、ハッカーが重要なコードやその他のデータにアクセスしたことを間接的に示しています。
LastPass はまた、調査は進行中であると述べており、同社はこの事件について法執行機関と関連規制当局に通知しています。 彼女自身は、マスター パスワードを 12 文字以上にすること、Password-Based Key Derivation Function (PBKDF2) キー生成標準の設定を変更すること、そしてもちろん他のサイトでマスター パスワードを使用しないことをユーザーに推奨しています。 より詳細な現在の推奨事項が示されています サービスブログで.
ウクライナがロシアの侵略者と戦うのを助けることができます。 これを行う最善の方法は、ウクライナ軍に資金を寄付することです。 セーブライフ または公式ページから NBU.