Chrome/Edge のスペルチェック機能の問題:ユーザーの個人情報が G/M に送信されている?

Google, Microsoft can get your passwords via web browser’s spellcheck

2022/09/17 BleepingComputer — Web ブラウザ Google Chrome/Microsoft Edge の拡張スペルチェック機能は、個人情報 (PII:Personally Identifiable Information) や、場合によってはパスワードを含むフォームデータを、Google と Microsoft に送信することが判明した。これは、これらの Web ブラウザの一般的な機能かもしれない。しかし、送信後のデータの取り扱いについては、特にパスワード・フィールドに関しては、どれほどの安全性が担保されるのかという点で懸念が生じる。

Continue reading “Chrome/Edge のスペルチェック機能の問題:ユーザーの個人情報が G/M に送信されている?”

LastPass のシステムで発生した不正侵入:4日間にわたる不正アクセスが判明

Hackers Had Access to LastPass’s Development Systems for Four Days

2022/09/17 TheHackerNews — パスワード管理ソリューションの LastPass は、2022年8月に発生したセキュリティ・インシデントの詳細を公開し、脅威者が 8月の4日間にわたり、同社のシステムに不正にアクセスしていたことを明らかにした。LastPass の CEO である Karim Toubba は、9月15日に公開されたアップデートで、「観測されたタイムラインを超える脅威者の活動の証拠はない。また、このインシデントにおいて、脅威者が顧客データ/暗号化パスワード保管庫へアクセスした形跡もない」と付け加えている。

Continue reading “LastPass のシステムで発生した不正侵入:4日間にわたる不正アクセスが判明”

LastPass に脅威アクターが侵入:ソースコードの一部が盗み出された影響は?

LastPass Suffers Data Breach, Source Code Stolen

2022/08/27 DarkReading — LastPass の内部システムに侵入した攻撃者が、ソースコードと知的財産を持ち去った。パスワード管理会社である LastPass は、開発環境における異常なアクティビティを、2週間前に検出したと発表した。今週に行われた発表では、フォレンジック・データを調査した結果、開発者アカウントに侵入した何者かが、ネットワークにアクセスし、LastPass ソースコードの一部と独自の技術情報が窃取したと述べられている。

Continue reading “LastPass に脅威アクターが侵入:ソースコードの一部が盗み出された影響は?”

Google Chrome フィンガープリントという問題:エクステンションの種類からユーザー追跡ハッシュの取得が可能

Google Chrome extensions can be fingerprinted to track you online

2022/06/19 BleepingComputer — ある研究者が、ユーザーの追跡を可能にするフィンガープリントを、ユーザーのデバイスにインストールされている Google Chrome のエクステンションから取得する Web サイトを公開した。 Web 上のユーザーの追跡を可能にするフィンガープリントは、つまり追跡用ハッシュは、Web サイトにアクセスするデバイスの、さまざまな特性をベースに生成される。このデバイスの特性には、GPUの性能/インストールされている Windows アプリケーション/デバイスの画面解像度/ハードウェア構成/インストールされているフォントなどが含まれる。さらに、同じ方式を使用して、複数のサイトでデバイスを追跡することも可能になる。

Continue reading “Google Chrome フィンガープリントという問題:エクステンションの種類からユーザー追跡ハッシュの取得が可能”

Have I Been Pwned に 44万件のアカウントが追加:RedLine マルウェアにより窃取

Have I Been Pwned adds 441K accounts stolen by RedLine malware

2021/12/30 BleepingComputer — Have I Been Pwned の情報漏えい通知サービスにおいて、RedLine マルウェアの情報窃取キャンペーンで盗まれた 441,000件のアカウントに、自身のメールとパスワードが含まれているかどうかを確認できるようになった。RedLine は、現時点において最も広く使用されている情報窃取用マルウェアであり、悪意の添付ファイルを用いたフィッシング・キャンペーンや、YouTube 詐欺、warez/crack サイトなどで配布されている。

Continue reading “Have I Been Pwned に 44万件のアカウントが追加:RedLine マルウェアにより窃取”

LastPass ユーザーのマスター・パスワードが侵害された?

LastPass users warned their master passwords are compromised

2021/12/28 BleepingComputer — 数多くの LastPass ユーザーが、誰かが不明な場所から自身のアカウントにログインしようと試みたと、警告するメールを受け取った後に、マスター・パスワードが侵害されたという報告を受けている。この電子メール通知には、見知らぬ場所からのログイン試行が、ブロックされたと記載されている。

Continue reading “LastPass ユーザーのマスター・パスワードが侵害された?”

パスワードに関する調査:再利用は? 難読化は? 多要素認証は?

Password Reuse Problems Persist Despite Known Risks

2021/09/23 DarkReading — パスワード・セキュリティの危険性が認識されるようになった一方で、約3分の2の人々は、自身の複数のアカウントに同じパスワードを、または、そのバリエーションを使い続けている。最近の調査によると、平均的な人において、少なくとも 50のオンライン・アカウントを利用されていることを考えると、これは困ったことである。

Continue reading “パスワードに関する調査:再利用は? 難読化は? 多要素認証は?”