LastPass 사용을 중단해야 합니다

0
178
LastPass 사용을 중단해야 합니다
라스트패스

LastPass는 최고의 암호 관리자 중 하나였지만 최근에는 여러 보안 침해로 인해 명성이 떨어졌습니다. 이제 회사는 마지막 것이 정말로 나쁜.

LastPass는 지난 8월 해커가 개발 환경에 액세스하여 소스 코드 및 기타 독점 정보를 훔칠 수 있었던 보안 침해를 겪었습니다. 12월 후반에 LastPass는 해커가 해당 데이터를 사용하여 “고객 정보의 특정 요소에 액세스”할 수 있음을 확인했습니다. 회사는 지금까지 “특정 요소”가 무엇을 의미하는지 명확히 하지 않았습니다.

LastPass는 “진행 중인 조사”에 이어 공격의 전체 범위를 방금 공개했습니다. 해커는 회사 이름, 최종 사용자 이름, 청구지 주소, 이메일 주소, 전화번호 및 IP 주소를 포함한 기본 고객 계정 정보 및 관련 메타데이터가 포함된 8월 보안 침해 데이터를 사용하여 클라우드 스토리지 환경에 액세스할 수 있었습니다. 고객이 LastPass 서비스에 액세스하고 있던 곳입니다.” 신용 카드 정보에 액세스하지 않은 것 같습니다.

최악의 부분은 회사에서 “백업”이라고 불렀지만 해커가 LastPass에서 볼트 데이터를 성공적으로 복사했기 때문에 데이터가 얼마나 오래되었는지 명확하지 않다는 것입니다. 회사는 개인의 마스터 비밀번호를 기반으로 256비트 AES 암호화를 사용하기 때문에 실제 비밀번호가 여전히 안전하다고 주장합니다. 그러나 누군가의 마스터 암호를 얻을 수 있는 경우(예: LastPass 로그인 페이지를 모방한 피싱 이메일) 암호화된 데이터의 잠금을 해제하고 다른 사람의 모든 암호를 볼 수 있습니다.

온라인 보안: 피싱 이메일 분석 분석

관련된온라인 보안: 피싱 이메일 분석 분석

마스터 암호가 없더라도 유출된 데이터는 일부 LastPass 사용자에게 피해를 줄 수 있습니다. 이름과 청구지 주소는 더 많은 공격에 사용될 수 있으며 저장된 비밀번호의 웹사이트 주소는 암호화되지 않았습니다. 유출된 데이터를 가진 사람은 비밀번호와 관련된 모든 웹사이트를 볼 수 있고 이를 표적 피싱에 사용할 수 있습니다. 예를 들어, 누군가 Bank of America 웹사이트의 암호를 알고 있다면 그곳에 계정이 있을 수 있으며 은행의 계정 알림처럼 보이는 피싱 이메일의 훌륭한 대상이 될 수 있습니다.

이것은 LastPass와 같은 암호 관리자에 대해 상상할 수 있는 최악의 보안 사고에 관한 것입니다. 회사 소유의 거의 모든 데이터가 복사되었습니다. 클라이언트 측 암호화는 모든 암호가 도난당하지 않도록 저장했지만 앞서 언급한 것처럼 약한 마스터 암호나 피싱 공격만 있으면 계정의 해당 데이터를 잠금 해제할 수 있습니다. 이는 보안 문제 및 기타 여러 최근 위반에 대한 대응의 빈약한 기록과 함께 LastPass 사용을 중단하는 좋은 이유입니다.

LastPass를 사용하는 경우 가능한 한 빨리 마스터 비밀번호를 변경하고 앞으로 몇 주 또는 몇 달 동안 개략적인 이메일을 경계해야 합니다. 또한 LastPass에 저장된 모든 암호를 변경하는 것을 고려할 수도 있습니다. 해커는 이제 (아마도) 해당 데이터를 가지고 있지만 지금은 잠금을 해제할 수 없습니다.

출처: LastPass