- 元記事:LastPass Security Notice
- HP:LastPass
| 地域・国 | Fairfax, VA USA |
|---|---|
| 会社名 | LastPass |
| 株式情報 | 非上場 |
| 漏洩種別 | 流出 |
| 漏洩対象 | システム |
| 漏洩場所 | 社外 |
| 漏洩内容 | メールアドレス/パスワード |
| 漏洩件数 | 不明 |
| 漏洩日時 | 不明 |
| 発表日時 | 2015/6/15 |
LastPassにて不正アクセスを受け個人情報が流出。パスワード管理サービスを提供するLastPassのコンピュータシステムが外部から不正侵入され、アカウントのメールアドレスやパスワードリマインダー、ユーザーごとのサーバのソルト値、認証ハッシュなどが流出した。
暗号化されたユーザ保管庫やユーザアカウントへの不正アクセスの形跡は確認されておらず、保管庫に保存された他のWebサイトのパスワードも流出していない。
同社の暗号化方法は大多数のユーザを保護するのに十分な手法であると主張している。同社では認証をサーバサイドでPBKDF2-SHA25で10万回にわたりランダムなソルトでハッシュ化しているため、盗まれたハッシュを短期間で攻撃することは困難だとしている。しかし同社は安全のため、新しいデバイスやIPアドレスからログインする場合にはメールでアカウント認証を行うよう求めている。またマスターパスワードをアップデートするよう予防措置をとった。さらにLastPassの保管庫のパスワードの変更の必要はないが、安易なパスワードを使用している場合やマスターパスワードと同じパスワードを他社サービスで使いまわしている際にはパスワードの変更をするよう呼びかけている。