パスワード管理サービスを提供するLastpassは、今年8月に発生したハッキングによってさまざまなユーザーデータ、そして保護された状態のデータ保管庫が盗まれたと発表しました。
今年8月時点では、Lastpassは「ソースコードの一部とLastPass独自の技術情報が盗まれた」と発表。一方で、顧客のマスターパスワードや暗号化されたパスワード、個人情報、顧客アカウントに保存されているそのほかのデータには、影響がなかったと発表していました。
しかし今回発表された調査結果によれば、Lastpassからユーザーの会社名やユーザー名、請求先住所、メールアドレス、電話番号、IPアドレスなどの個人情報および関連するデータがハッカーにより盗み出されていたことが判明。さらに暗号化により保護されてはいますが、Webサイトのユーザー名やパスワード、セキュアノート、URL、フォームに記入されたデータがコピーされたことも報告されているのです。
Lastpassは暗号化されたデータについて、「256ビットAES暗号で保護されており、各ユーザーのマスターパスワードの暗号化キーでのみ解読できます」と報告しています。また、暗号化されていないクレジットカードのデータがアクセスされた形跡はなく、ハッキングされたものとは別のクラウドストレージ環境に保管していると案内しています。
Lastpassは今回のハッキング被害を受け、システムの再構築を発表しています。またユーザーは少なくともマスターパスワード(できればすべてのパスワード)を変更し、同時にLastpassやほかのサービスを騙るフィッシングメールや電話に警戒する必要があります。今回の事例は残念ながら、ユーザーへの影響が極めて大きなハッキング事件となってしまいました。
Source: Lastpass via Ars Technica