LastPass가 마스터 비밀번호를 유출하지 않았다고 말합니다 [Update: Further Clarification]

By
조 치훈
-
0
240
라스트패스 로고
II.studio/Shutterstock.com

몇몇 LastPass 사용자는 회사로부터 마스터 비밀번호를 사용한 무단 로그인 시도에 대한 이메일을 받고 있다고 주장합니다. 다행히 LastPass가 문제에 응답했으며 암호 관리자는 사용자 정보가 유출되지 않았다고 말합니다.

업데이트, 12/29/21 오전 8:07 동부: LastPass는 이 문제를 추가로 조사한 결과 경고가 오류로 전송되었음을 발견했습니다. LastPass의 제품 관리 부사장인 Dan DeMichele은 이 문제에 대한 업데이트 성명을 발표했습니다.

앞서 언급했듯이 LastPass는 차단된 로그인 시도에 대해 경고하는 전자 메일을 수신한 사용자의 최근 보고서를 알고 조사하고 있습니다.

우리는 이 활동을 조사하기 위해 신속하게 작업했으며 현재로서는 이 자격 증명 스터핑의 결과로 권한이 없는 제3자에 의해 LastPass 계정이 손상되었다는 징후가 없으며 사용자의 LastPass 자격 증명이 맬웨어에 의해 수집되었다는 징후를 찾지 못했습니다. 악성 브라우저 확장 프로그램 또는 피싱 캠페인.

그러나 우리는 많은 주의를 기울여 시스템에서 자동 보안 경고 전자 메일이 실행되는 원인을 파악하기 위해 계속 조사했습니다.

조사 결과 제한된 LastPass 사용자 하위 집합에게 전송된 이러한 보안 경고 중 일부가 오류로 인해 발생했을 가능성이 있는 것으로 나타났습니다. 결과적으로 보안 경고 시스템을 조정했으며 이 문제는 이후 해결되었습니다.

이러한 경고는 악의적인 행위자와 크리덴셜 스터핑 시도로부터 고객을 보호하기 위한 LastPass의 지속적인 노력으로 인해 발생했습니다. 또한 LastPass의 영지식 보안 모델은 LastPass가 사용자의 마스터 암호를 저장하거나 알고 있거나 액세스할 수 없음을 의미한다는 점을 반복하는 것도 중요합니다.

우리는 비정상적이거나 악의적인 활동을 지속적으로 정기적으로 모니터링하고 필요에 따라 LastPass, 사용자 및 데이터가 보호되고 안전하게 유지되도록 설계된 조치를 계속 취할 것입니다.”

보고서는 Hacker News에서 다음과 같이 말했습니다. “LastPass가 브라질의 로그인 시도를 차단했습니다(제가 아닙니다). LastPass에서 받은 이메일에 따르면 이 로그인은 LastPass 계정의 마스터 비밀번호를 사용하고 있었습니다. 이메일은 피싱 시도로 보이지 않습니다.”

이로 인해 권한이 없는 사람이 올바른 비밀번호로 로그인한 경우에만 이러한 이메일이 도착하기 때문에 LastPass가 마스터 비밀번호를 어떻게든 유출했을 수 있다는 추측으로 이어졌습니다. 그러나 LastPass가 마스터 암호를 서버에 저장하지 않고 모든 것이 로컬에서 수행된다는 점을 분명히 했기 때문에 이것은 가능성이 없어 보였습니다.

우리는 LastPass에 논평을 요청했고 대변인은 우리의 의심을 확인했습니다.

LastPass는 차단된 로그인 시도에 대한 최근 보고서를 조사한 결과 악의적이거나 나쁜 행위자가 제3자로부터 얻은 이메일 주소와 비밀번호를 사용하여 사용자 계정(이 경우 LastPass)에 액세스하려고 시도하는 상당히 일반적인 봇 관련 활동과 관련이 있음을 확인했습니다. 기타 비계열 서비스와 관련된 당사자 위반. 계정이 성공적으로 액세스되었거나 LastPass 서비스가 승인되지 않은 당사자에 의해 손상되었다는 표시가 없다는 점에 유의하는 것이 중요합니다. 우리는 이러한 유형의 활동을 정기적으로 모니터링하고 LastPass, 사용자 및 데이터가 보호되고 안전하게 유지되도록 설계된 조치를 계속 취할 것입니다.

LastPass는 의심스러워 보이는 로그인 시도를 차단하여 이 상황에서 해야 할 일을 정확히 수행한 것 같습니다.

공격자가 실제로 온라인에서 "계정을 해킹"하는 방법과 자신을 보호하는 방법

관련된공격자가 실제로 온라인에서 “계정을 해킹”하는 방법과 자신을 보호하는 방법

비밀번호를 도난당한 사용자는 키로거 또는 기타 제3자 공격의 피해자일 수 있습니다. 또한 동일한 이메일 주소와 비밀번호를 사용하는 관련 없는 공격으로 정보가 유출되었을 수 있습니다.

어느 쪽이든 LastPass 사용자(또는 비밀번호 관리자와 같은 민감한 도구의 사용자)라면 2단계 인증을 활성화하여 누군가가 귀하의 계정에 무단으로 액세스하지 못하도록 하는 것이 좋습니다. 어떤 이유로든 비밀번호가 손상될 수 있다는 우려가 있는 경우 비밀번호를 변경하는 것도 나쁘지 않습니다.

관련된: 2단계 인증이란 무엇이며 왜 필요한가요?

조 치훈
조 치훈
http://choesin.com

RELATED ARTICLESMORE FROM AUTHOR