LastPassのセキュリティ侵害に関連したGoToハッキングは、当初公表されたよりもはるかに深刻なものでした。以前はLogMeInとして知られていた同社は、攻撃者が顧客データの暗号化されたバックアップだけでなく、少なくとも一部のデータの暗号化キーも入手したことを明らかにしました。
これは LastPass のハッキングと似た話で、控えめな最初の発表から、当初の懸念よりもはるかに悪質だったという暴露まで、同じような道をたどりました...
LastPassハッキング
GoToの関連会社であるLastPassは8月に自社のシステムが攻撃を受けたと発表したが、当時はユーザーデータが侵害された兆候はなかったと述べていた。
状況は12月に一変しました。同社は、攻撃者が実際に顧客データにアクセスしたことを公表したのです。当時、同社は復号鍵を保有しているのは顧客のみであるため、パスワードは安全だと説明していました。しかし、LastPassはその後、さらに踏み込み、はるかに多くのデータが取得されたことを認めました。
顧客のパスワード保管庫のコピーに加え、名前、電子メール、請求先住所、電話番号なども取得されました。
同社は顧客のログイン情報は安全だと主張し続けたものの、あるセキュリティ研究者は同社が「半分しか真実ではなく、全くの嘘」をついていると非難した。その後、パスワード管理サービスのライバル企業である1Passwordは、セキュリティ対策が脆弱だったため顧客のパスワードは危険にさらされていないと反論した。
GoToハック
昨年 11 月に GoTo は、攻撃者が同社の開発環境と、同社と LastPass の両社が使用しているサードパーティのクラウド ストレージ会社にアクセスしたと発表しました。
この発表は比較的控えめなもので、顧客データではなく企業データのみがアクセスされたように見えた。
しかし、同社は最近、顧客に電子メールを送り、データのバックアップがアクセスされたことを通知し始めた。
影響を受けるバックアップ情報には、CentralおよびProアカウントのユーザー名、ソルト付きおよびハッシュ化されたパスワードが含まれます。また、デプロイメントおよびプロビジョニング情報、One-To-Manyスクリプト(Centralのみ)、一部の多要素認証情報、ライセンスおよび購入データ(ユーザーのメールアドレス、電話番号、請求先住所、クレジットカード番号の下4桁など)も含まれます(クレジットカード情報や銀行口座情報の全情報は保存していません)。
GoTo社はまた、少なくとも一部のデータの暗号化キーを入手したことを認めた。
さらに、脅威アクターが暗号化されたデータの一部の暗号鍵も盗み出したという証拠も確認されています。ただし、当社のセキュリティプロトコルの一環として、CentralアカウントとProアカウントのパスワードにはソルトとハッシュが使用されています。これにより、暗号化されたバックアップのセキュリティがさらに強化されます。
しかし、 Bleeping Computer は、これがすべてではないかもしれないと述べている。
同社はバックアップに使用された暗号化の種類を明らかにしていないが、AES などの非対称暗号化を使用していた場合、盗まれた暗号化キーを使用してバックアップを復号化できる可能性がある。
GoTo は影響を受けたアカウントのパスワードを強制的にリセットしていますが、これによってハッカーがすでに入手したデータへのアクセスを防げるとは思えません。
写真: Markus Spiske/Unsplash
skiyoo.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
![サムスン、アップルが特許侵害を主張する25倍望遠カメラメーカーを買収 [U]c](https://image.skiyoo.com/miommiod/0a/97/9to5mac-default.webp)
