数ヶ月前に起きたデータ流出事件で、パスワード管理会社LastPassは、ハッカーが一部の機密顧客情報にアクセスした可能性があることを明らかにした。そのため、このサービスを通じて暗号通貨ウォレットの「シードフレーズ」を保存している人々には、いくつかの注意が必要です
。
LastPassパスワードマネージャがハッキングされた
。
木曜日、パスワードマネージャーLastPassのチームは、8月25日に流出した機密データにハッカーがアクセスしたことを報告しました:
「これまでの調査により、2022年8月に以前公開したインシデントから得た情報を悪用して、未知の悪意ある行為者がクラウド型ストレージ環境にアクセスしたことが判明しました」
..
パスワードマネージャーは、その名の通り、自分のパスワードをすべて保存し、新しい安全性の高いパスワードを簡単に生成することができます。ハッキングされたLastPassのデータベースには、同社の金庫に保管されていたお客様の個人情報が含まれています。金庫には、身分証明書や暗号通貨ウォレットの秘密鍵など、あらゆるデータが入る可能性があるため、これらのデータが流出する可能性が出てきたのです。
金庫はLastPassが保存していないパスワードで保護されているため、パスワードが見つからない限り、入っているデータは依然として安全であると考えられるという。
しかし、ある投資家は、LastPassがアプリに保存したシードフレーズのセカンダリウォレットのうち4つが空になったことから、事態の全容を開示することに失敗していると考えています:
。
@LastPassの状況は、彼らが言っているよりも悪いかもしれませんね。
18日の日曜日、私の財布のうち4つが危険にさらされました。損失は大きくありません。
彼らの種は、暗号化されて、私のlastpassの保管庫に、すべての文字型を使った16文字のパスワードの後ろに保管されていた。
– path.eth 🛡️ (@Cryptopathic) December 23, 2022
。
被害者は損失が大きくないと安心する一方で、金庫のパスワードは他では使われておらず、その複雑さから「ブルートフォース攻撃」で解読される可能性はないと主張しています
。
LastPassを使用する場合の注意点
これらのパスワードの裏に隠された機密データを考えると、LastPassの公開コミュニケーションだけを信用するべきではありません。
もし、このサービスに暗号ウォレットからシードフレーズを保存していた場合、用心のため、これらの資金をすべて別の秘密鍵アドレスに移すことが賢明でしょう。
保管庫にアクセスするためのマスターパスワードを変更しても、現在のパスワードは盗まれたデータベースと同じままであり、ハッカーは保管庫に保存されている情報にアクセスできるため、十分ではありません。
そのため、パスワードマネージャーを変更し、何よりも「機密」とみなされるすべてのアカウントのパスワードをリセットすることが賢明でしょう。アプリケーション上でホストされている二要素認証(2FA)については、別のサービスを利用するためにリセットすることも必要です。
このデータ漏洩はLastPassが主張するよりもはるかに深刻ですが、これらの金庫に保管されていたクレジットカードや身分証明書も危険にさらされる可能性があることも考慮する必要があります
。
