LastPassは、12月上旬にハッカー攻撃の標的となり、顧客情報が失われました。今回、その詳細が明らかになりました。
世界で大人気のパスワードマネージャー「LastPass」がハッカーの攻撃対象に-再び。ハッカーが同社の開発者用ツールにアクセスしたのは、8月に入ってからだった。プロバイダーは、このプロセスで顧客情報が失われることはないと保証している。
12月の初め、つまり3週間ほど前に、8月に詐欺にあった情報をもとにしかできない2回目の攻撃が報告されました。今回、特定の顧客情報が盗まれましたです。
一体何が盗まれたのか
特定の顧客情報は、以下のデータです。
- 会社名
- ユーザー名
- インボイスの宛先
- 電子メールアドレス
- IPアドレス
- 電話番号
- WebサイトURL
- Webサイトのパスワードやユーザー名を暗号化(256ビットAES)
LastPassは、クレジットカード番号などの支払情報が盗まれていないことを保証します しかし、ご覧の通り、盗まれたデータはかなり爆発的で、お客様とのコミュニケーションも疑問視されています
。
ハッカーがコピーしたバックアップには、ウェブサイトのユーザー名やパスワードも含まれていますが、これらは高度に暗号化されており、安全であるはずです。マスターパスワードはLastPassに保存されていませんが、ハッカーが他の盗まれたデータから推測しようとすることを妨げるものではありません。
さらに、このデータがあれば、攻撃者は顧客にフィッシング攻撃 を仕掛け、マスターパスワードを入手するために、LastPassになりすますことができます
。
お客さまとして何をすべきか?
LastPassで安全なマスターパスワードを使えば、あなたのデータは安全なはずです。同社によると、1つのパスワードを推測するには数百万年かかるそうです
。安全性の低いパスワードを使用していて、他のウェブサイトでもそのパスワードを使用している場合は、できるだけ早く保存しているウェブサイトのパスワードをすべて変更することを強くお勧めします
。
フィッシング攻撃について:LastPassはマスターパスワードの入力を求めたり、プライベートデータの照合を求めたりすることは決してありません。そんなフィッシング詐欺の手口と対処法!
LastPassの高い人気は、残念ながらこのような攻撃の格好のターゲットとなっています。競合他社は、過去に報告されたセキュリティ問題がはるかに少なかった。乗り換えたい人のために、5つの選択肢を紹介します:
。
あなた自身は、パスワードマネージャーを使っていますか?それとも、パスワードマネージャーに対してセキュリティ上の懸念がありますか?
コメントでご意見をお聞かせください。