Cassidy氏は11月、LastPassにこのセキュリティの問題を報告した。LastPassは12月にこの問題を確認した。LastPassは、ユーザーがボールトのマスターパスワードを他のウェブサイトに入力する際に警告することでこの攻撃を緩和するという対応を行った。しかしCassidy氏は、この対応で問題は十分に解決されないとして、次のように述べた。
「攻撃者に制御されたウェブサイトでは、この通知が追加された際に容易に検知できる。そして攻撃者はあらゆることができるようになる。LostPassで、私は通知を止め、攻撃者のサーバにリクエストを送信して、パスワードを記録する」
LostPassの攻撃コードはGitHubで公開されている。
LastPassは1月、パスワード保管サービスを改良して「LastPass 4.0」をリリースした。今回発表された攻撃手法は、この最新版に攻撃を仕掛けられるように特に設計されたものだ。
LastPassの広報担当者は、米ZDNetの取材に対して次のように回答した。
「セキュリティは、LastPassでわれわれが最も重視していることだ。より一層安全なサービスを提供するというわれわれの取り組みを支援し、セキュリティ脅威に関する情報をユーザーに提供する機会を与えてくれる研究者のコミュニティーの貢献を、われわれは高く評価している」
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
