LastPassが今年2度目のハッキング

パスワード管理アプリLastPassは、水曜日に「不正な当事者」が同社のシステムを侵害し、一部の顧客情報にアクセスしたことを受けて、セキュリティインシデントを調査していると発表した。

LastPass CEOのKarim Toubba氏は ブログ投稿 で、情報はLastPassと親会社GoToが共有するサードパーティのクラウドサービスに保存されていたと述べた。トゥーバ氏は、ハッカーらは今年8月に発生した別の以前に明らかにされた事件で、LastPassのシステムから盗まれた情報を使用したと述べた。 Toubba氏はブログ投稿で、「顧客のパスワードは安全に暗号化されたままである」と付け加えた。

最近、サードパーティのクラウド ストレージ サービス内で異常なアクティビティが検出されました。このサービスは現在 LastPass とその関連会社 GoTo の両方で共有されています。私たちは直ちに調査を開始し、大手セキュリティ会社であるマンディアントと連携し、法執行機関に通報しました。

当社は、2022 年 8 月の事件で取得した情報を使用して、権限のない者が当社の顧客情報の特定の要素にアクセスできたと判断しました。 LastPass の Zero Knowledge アーキテクチャにより、お客様のパスワードは安全に暗号化されたままになります。

8 月 22 日付のブログ投稿によると、前回のインシデントでは、攻撃者が開発者の侵害されたエンドポイントを使用して LastPass 開発環境にアクセスし、ソース コードと一部の LastPass 独自の技術情報を盗みました。 LastPassは当時、同社のシステムが「攻撃者による顧客データや暗号化されたパスワード保管庫へのアクセスを阻止した」と述べた。

LastPass は現在、水曜日の事件の範囲を把握し、どのような特定の情報がアクセスされたかを特定することに取り組んでいます。 GoTo（旧LogMeIn）もこの事件を調査していると 述べた が、GoToユーザーもハッキングの影響を受けるかどうかについては説明しなかった。それまでの間、LastPass の製品とサービスは引き続き「完全に機能する」と Toubba 氏は述べています。