kuncikn.blogspot.com
パスワード管理システム「LastPass」は、2022年8月にソースコード流出が判明したり、2022年12月にはユーザー情報の流出が判明したりと情報流出が相次いで報告されています。新たに、LastPassは一連の情報流出が「従業員のPCが攻撃され、キーロガーを仕込まれた」ことに起因していることを発表しました。
Incident 2 – Additional details of the attack - LastPass Support
https://ift.tt/3ycX48v
LastPassはウェブサービスのパスワード情報を保存しておけるサービスで、LastPassのサーバー上にはユーザーのパスワードが暗号化された状態で保存されています。ところが、2022年8月にはLastPassのソースコードが盗み出されたことが判明。さらに2022年12月にはユーザーのパスワードを含む個人情報の流出が発表されました。
パスワード管理アプリ「LastPass」のパスワードや個人情報が盗まれていたことが判明 - GIGAZINE
LastPassは新たに、一連の情報流出は従業員のPCがハッキングされたことに起因していたことを発表しました。
LastPassではAmazonのクラウドストレージサービス「Amazon Simple Storage Service(Amazon S3)」を利用しており、4人の従業員にAmazon S3のアクセスキーを割り当てていたとのこと。しかし、4人のうち1人の自宅用PCがハッキングされてキーロガーを仕込まれた結果、Amazon S3のアクセスキーが盗み出されてしまいました。
攻撃者は、盗んだアクセスキーを用いてLastPassのバックアップデータや社内共有データなどを奪取しました。この際、攻撃者は管理者のアクセスキーを用いて各種データにアクセスしていたため「異常な動作」が検出されず、問題発見の遅延につながったとLastPassは述べています。
LastPassはPCをハッキングされた従業員およびAmazon S3のセキュリティ強化を実施したとのこと。また、LastPassのユーザーに対してもマスターパスワードの変更や2要素認証の有効化などのセキュリティ強化を呼びかけています。
からの記事と詳細 ( パスワード管理アプリ「LastPass」の情報流出は社員の自宅PCハッキングが原因 - au Webポータル )
https://ift.tt/fE1uqhm
No comments:
Post a Comment