キーポイント：

• 2022 年 8 月、パスワード管理サービス LastPass がサイバー攻撃を受け、ユーザーの暗号化された認証情報が盗まれました。

• ブルートフォース推測を使用することで、攻撃者は一部の LastPass ユーザーの Web サイトのパスワードを解読できる可能性があります。

• マスター パスワードはボールトの暗号化に使用され、攻撃者がボールトを読み取ることができなくなります。

• 同組織が調査を実施したところ、攻撃者がこの技術知識を利用して別の従業員のデバイスをハッキングし、クラウドストレージシステムに保管されている顧客データへのアクセストークンを盗んだことが判明した。

パスワードマネージャー Lastpass は、2022 年 8 月に身元不明の攻撃者がサーバーにアクセスし、顧客データを盗んだことを確認しました。これには、パスワードロッカー会社のサービスを使用した IP アドレス、パスワード、ユーザー名、会社名などが含まれていました。

顧客の金庫が複製され、その顧客の情報がすべて保存されていたことも、Lastpass が確認したと、同社は 12 月 23 日の声明で発表した。窃盗犯が Lastpass の開発部門からソースコードに関する情報にアクセスした際に、データ盗難が行われた。別の従業員がソースコードを盗む標的となり、Lastpass のクラウドベースのストレージ ボリュームを開くためのパスワードとキーを入手できた。

最近のセキュリティインシデントのお知らせ – LastPass ブロ#lastpasshack#hack#lastpass#infosec https://t.co/sQALfnpOTy

— トーマス・ジッケル（@thomaszickell）2022年12月23日

一部の顧客の暗号化された金庫も盗まれました。LastPass サービスを利用している各顧客は、これらの金庫に Web サイトのパスワードを保管しています。幸いなことに、金庫にはマスター パスワードがあり、パスワードが暗号化されているため、侵入者がパスワードを読み取ることはできません。

同社の声明では、このサービスでは最先端の暗号化が使用されていることを強調しており、これにより攻撃者がマスターパスワードなしで金庫ファイルを閲覧することが極めて困難になっている。

「これらの暗号化されたフィールドは 256 ビット AES 暗号化で保護されており、ゼロ ナレッジ アーキテクチャを使用して各ユーザーのマスター パスワードから生成された一意の暗号化キーでのみ復号化できます。マスター パスワードは LastPass に知られることはなく、LastPass によって保存または維持されることもありません。」

それにもかかわらず、LastPass は、ユーザーが弱いマスター パスワードを選択した場合、攻撃者がブルート フォース攻撃を使用してそれを推測し、金庫を復号化し、ユーザーのすべての Web サイト パスワードを取得できる可能性があることを認めています。

LastPass 攻撃は、Web3 開発者が長年主張してきた点を証明しています。つまり、ブロックチェーン ウォレット ログインは、従来のユーザー名とパスワードのログイン メカニズムに取って代わるべきだということです。

Coincu が報じたように、ConsenSys は Uniswap に続いてプライバシー ポリシーを更新しました。MetaMask ウォレットで Infura をデフォルトの RPC プロバイダーとして利用している場合、Infura はトランザクションを送信するときにユーザーの IP データと Ethereum ウォレット アドレスを収集します。

これによってコミュニティは自分たちの情報が明らかになるとして激怒しており、MetaMaskから分散化が徐々に消えつつあると言える。ConsenSysはすぐに、ユーザーが取引を行うときにのみデータを収集しているとユーザーに回答した。

免責事項: このウェブサイトの情報は一般的な市場解説として提供されており、投資アドバイスを構成するものではありません。投資する前にご自身で調査することをお勧めします。

ニュースをフォローするには参加してください: https://linktr.ee/coincu

ウェブサイト: coincu.com

ハロルド

コインキュニュース