LastPass: ハッカーが顧客のパスワード保管庫にアクセスしてコピーした from threcord.media(tech)

LastPass の CEO である Karim Toubba 氏は、いわゆる Credential Stuffing 攻撃について説明し、「マスター パスワードを再利用し、そのパスワードが侵害された場合、攻撃者はインターネット上で既に利用可能な侵害された資格情報のダンプを使用して、あなたのアカウントにアクセスしようとする可能性があります」と説明しました。
LastPass が顧客の暗号化されていないアカウント情報「会社名、エンドユーザー名、請求先住所、電子メール アドレス、電話番号、および顧客が LastPass サービスにアクセスしていた IP アドレス」
脅威アクターは、「Web サイトのユーザー名とパスワード、安全なメモ、フォーム入力データなど、完全に暗号化された機密フィールド」にもアクセスしました各ユーザーのマスターパスワードから派生した一意の暗号化キーでのみ復号化できます。
Toubba 氏は、LastPass の暗号化とハッシュ方式により、攻撃者がマスター パスワードを「力ずくで」推測することは「非常に困難」になるだろうと述べました。
英国の国家サイバーセキュリティセンター (NCSC) は、「攻撃が成功すると、ユーザーの保存されているすべてのパスワードにアクセスできるようになるため、パスワードマネージャーは、アカウントへの不正アクセスを試みる人の自然な標的です」と警告しています。
このリスクにもかかわらず、NCSC は、サービス自体 (および攻撃者) が復号化キーにアクセスできないようにすることを含む技術基準にサービスが準拠している限り、パスワード マネージャーの使用を推奨しています。