パスワードの一元管理ツールを提供する米LastPassは6月15日、LastPassアカウントの電子メールアドレスや認証ハッシュなどがハッキングされたと発表した。
ネットワーク上で不審な挙動が発見され、調査から判明したという。
同社のブログによると、流出したのはアカウントの電子メールアドレスやパスワードリマインダー、ユーザーごとのソルト、認証ハッシュなど。
一方、暗号化されたユーザー保管庫のデータが盗まれたり、ユーザーのアカウントに不正アクセスされたりした痕跡は見つかっていないと強調した。
保管庫に保存された他のWebサイトのパスワードも無事だったという。
盗まれた認証ハッシュなどについては、強力な暗号化措置を施しているため攻撃は困難とし、大多数のユーザーは守られると説明している。
同社は全ユーザーに電子メールで今回の問題について告知するとともに、安全を期すためにマスターパスワードの更新を勧告。
多要素認証を有効にしていないユーザーに対しては、新しいデバイスやIPアドレスからログインする際はまず電子メールでアカウント認証を行うことを義務付けた。
一方、LastPassの保管庫に保存された他のサイトのパスワードを変更する必要はないとしている。
ただ、安易なパスワードを使っている場合や、マスターパスワードと同じパスワードを他のWebサイトでも使い回している場合は直ちに変更するよう呼び掛けている。
http://www.itmedia.co.jp/enterprise/articles/1506/16/news050.html
使ってる人は気を付けてくださいね~