LastPass は本日、攻撃者が 2022 年 8 月のインシデントで盗まれた情報を使用して、今年初めにクラウド ストレージを侵害した後、顧客のボルト データを盗んだことを明らかにしました。
これは、先月発行された前回の更新に続くもので、同社の CEO である Karim Toubba は、攻撃者が顧客情報の「特定の要素」へのアクセスを取得したとだけ述べた.
今日、Toubba 氏は、クラウド ストレージ サービスが LastPass によって使用され、運用データのアーカイブ バックアップが保存されていると付け加えました。
攻撃者は、開発者環境から盗んだ「クラウド ストレージ アクセス キーとデュアル ストレージ コンテナー復号化キー」を使用して、Lastpass のクラウド ストレージにアクセスしました。
「脅威アクターは、基本的な顧客アカウント情報と、会社名、エンドユーザー名、請求先住所、電子メール アドレス、電話番号、顧客が LastPass サービスにアクセスする際に使用した IP アドレスなどの関連メタデータを含む情報をバックアップからコピーしました」と Toubba は述べています。今日言った。
「脅威アクターは、暗号化されたストレージ コンテナから顧客のボールト データのバックアップをコピーすることもできました。このストレージ コンテナは、ウェブサイトの URL などの暗号化されていないデータと、ウェブサイトなどの完全に暗号化された機密フィールドの両方を含む独自のバイナリ形式で保存されています。ユーザー名とパスワード、安全なメモ、フォームに入力されたデータ。」
盗まれた保管庫データの一部は「安全に暗号化」されています
幸いなことに、暗号化されたデータは 256 ビットの AES 暗号化で保護されており、各ユーザーのマスター パスワードから派生した一意の暗号化キーでのみ復号化できます。
Toubba 氏によると、マスター パスワードは LastPass に知られることはなく、Lastpass のシステムに保存されておらず、LastPass はそれを維持していません。
顧客は、攻撃者がマスター パスワードをブルート フォースして、盗まれた暗号化されたボールト データにアクセスしようとする可能性があることも警告されました。
ただし、LastPass が推奨するパスワードのベスト プラクティスに従っている場合、これは非常に難しく、時間がかかります。
もしそうなら、「一般に利用可能なパスワード解読技術を使ってマスターパスワードを推測するには、何百万年もかかるだろう」と Toubba は付け加えた.
「ユーザー名とパスワード、安全なメモ、添付ファイル、フォーム入力フィールドなどの機密データは、LastPass の Zero Knowledge アーキテクチャに基づいて安全に暗号化されたままです。」
1 年に 2 回の違反
クラウドストレージの侵害は、侵害された開発者アカウントを使用して開発者環境が侵害されたことを8月に確認した後、今年の初め以来、同社が開示した2番目のセキュリティインシデントです.
Lastpass は 8 月の通知日を公開しましたが、侵害の可能性に関する質問には回答がありませんでした。
Lastpass は、顧客に送信された電子メールで、攻撃者が自社のシステムから独自の技術情報とソース コードを盗んだことを確認しました。
フォローアップの更新で、同社は 8 月の侵害の背後にいる攻撃者が、立ち退かされるまで 4 日間、システムへの内部アクセスを維持していたことも明らかにしました。
LastPass によると、同社のパスワード管理ソフトウェアは、世界中で 3,300 万人以上の人々と 100,000 の企業によって使用されています。
Comments