Experts discovered millions of .git folders exposed to public
39M secrets exposed: GitHub rolls out new security tools | China-linked group UNC5221 exploited Ivanti Connect Secure zero-day since mid-March | Europol-led operation shuts down CSAM platform Kidflix, leading to 79 arrests | New Triada Trojan comes preinstalled on Android devices | New advanced FIN7's Anubis backdoor allows to gain full system control on Windows | U.S. CISA adds Apache Tomcat flaw
Slack Technologies(以下、Slack)は2022年12月31日(現地時間、以下同)、同社のWebサイトで、同社の使用している「GitHub」リポジトリが何者かによって不正アクセスを受けたと伝えた。この不正アクセスによってソースコードが不正コピーされたと報告している。 Slackの説明によると、2022年12月29日にGitHubアカウントで不審なアクティビティー通知を受信した。調査の結果、一部の従業員のトークンが窃取されており、このトークンを使って外部でホストされているGitHubリポジトリへの不正アクセスが実行されていることが明らかになった。 調査の結果、不正アクセスを実行したサイバー犯罪者は2022年12月27日に同社のプライベートコードリポジトリをダウンロードしたことが確認されている。 Slackは窃取が確認されたトークンを無効化し、予防措置として関連する全ての資格
パスワード管理ソフトにハッキング 打つ手は?
News Corp is a global, diversified media and information services company focused on creating and distributing authoritative and engaging content and other products and services.
Android向けの複数のパスワードマネージャーに影響する脆弱性「AutoSpill」が発見された。この脆弱性により認証情報が漏えいする懸念が出ているという。この脆弱性は、Androidが「WebView」を介してログインページを呼び出す際に発生する。WebViewがアプリに呼び出されたウェブページのコンテンツを表示するため、パスワードマネージャーを利用する際に認証情報がWebViewだけでなくアプリにも共有される可能性があるという(AutoSpill[PDF]、CNET Japan)。 報告によれば、影響を受けるパスワードマネージャーには「1Password」「LastPass」「Enpass」「Keeper」「Keepass2Android」が含まれる。さらにJavaScriptインジェクションを介して情報が共有された場合は、「Dashlane」「Google Smart Lock」も
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? 1. 意外に複雑なパスワード生成事情 システムの構築や管理で強固なパスワードを生成したいことがある。しかしTL;DRに書いたように、Linuxでは意外に複雑な事情がある。そこで今回は主要なコマンドの特性と使い方を説明する。 1-1. TL;DR Linuxにはパスワードを生成するコマンドが複数ある コマンドによって特性が違い、標準リポジトリに「含まれている/含まれていない」などインストール方法も違う 一見ランダムでありながら、発音しやすい(=覚えやすい)パスワード生成方法もある パブリック・クラウドではOSにパスワード・ログインする機会
年末年始の詐欺対策5選 | ライフハッカー・ジャパン
1. 対策をするオンラインで安全を保つためにできる一番大事なことは、詐欺に遭う前に、そのようなものを避ける、遠ざけることです。 つまり、自分のパスワードを暗号化して保管したり、その他のセキュリティ対策をして身を守ってくれる、パスワードマネージャーのような情報を安全に保つツールを使うということです。 「Googleのビルトインのパスワードマネージャー」や「AppleのiCloud キーチェーン」のような無料のものから、「1Password」や「LastPass」のような有料のものまで、優れたパスワードマネージャーはたくさんあります。 他にも、オンラインで自分の身を守る他の方法として、銀行やクレジットカード会社から通知ををもらうように設定するというのもあります。
パスワードはいかにして悪の手に渡るのか
一般的に、パスワードは、無数のオンラインサービスで使用する最も一般的な認証方法にすぎません。しかしサイバー犯罪者にとって、パスワードは、はるかに価値があるものです。他人の生活、大切な仕事のツール、そして売りたい商品への近道なのです。パスワードを知ることで、犯罪者は、ユーザーのアカウント、データ、金銭、さらには身元まで入手できるだけではなく、オンライン上の友達や親戚、勤務先や経営する企業を攻撃するために被害に遭ったユーザーを利用します。こういった被害を防ぐためには、そもそも他人がどうやってユーザーのパスワードを入手するのかを理解する必要があります。 パスワードはどのようにしてサイバー犯罪者の手に渡るのか パスワードが漏えいするときはユーザーが何らかのミスを犯している、というのは全くの誤解です。例えば、確認をせずにネットからファイルをダウンロードする、見知らぬ人から送信された文書を開く、怪しい
パスワード管理サービスの大手企業であるLastPassは米国時間8月25日、同社のシステムがハッキングされたことをブログ上で明らかにした。同社の最高経営責任者(CEO)Karim Toubba氏が具体的に述べたところによると、「権限を有していない何者かが、開発者のアカウントに不正侵入した上で、LastPassの開発環境の一部にアクセスし、ソースコードの一部と、LastPassが所有する技術情報の一部を盗み出した」という。 LastPassがセキュリティ関連のインシデントに見舞われるのはこれが初めてではない。2021年には、一部のユーザーのマスターパスワードが流出したことを思わせるインシデントが発生した。この時、LastPassは侵害の事実はないと回答したものの、誰かがアカウントにログインを試みているという警告メールを受け取ったユーザーは、この回答に納得していなかった。それでもなお、Last
パスワード管理アプリ「LastPass」から「Bitwarden(ビットウォーデン)」へ、 すべてのパスワードを コピー&ペーストで移行する 手順について、解説していきます。 パスワード移行「CSV形式でエクスポート、インポート」の手順で説明しているサイトもありますが、 日本語が文字化けするので、おすすめできません。 この記事では、LastPassに登録したパスワード「完全抹消」して退会する手順まで記していますので、完全にLastPassからサヨナラできますよ。 移行作業無事完了!Bitwardenは日本語表示だし使いやすそう。 LastPassからBitwardenへ乗り換え|PC&スマホ共通かんたん移行手順をIT管理プロが完全図解!! https://t.co/ewhAcntAHQ @dounanohackより — p.sungsoon (@makosonn) March 18, 20
生体認証を使った「パスワードなき世界」、アップルやGoogleの囲い込みが強まるおそれ【Gadget Gate】 - PHILE WEB
アップル、Google、マイクロソフトの3社は5月初め、パスワードが不要なユーザー認証システム「FIDO」をWebサイトやアプリ上で使いやすくすることを共同で発表した。 しかし、こうした「パスワードなき世界」を目指すことが、エコシステムの囲い込みを強化するおそれが指摘されている。つまり、iPhoneからAndroid、あるいはAndroidからiPhoneへの乗り換えが困難になるかもしれないという。 FIDOとは「Fast IDentity Online(すばやいオンライン認証)」の略で、パスワードなしでログイン認証できる仕組みを意味している。パスワードの代わりにUSBやBluetoothによる物理キーのほか、指紋や手の静脈、虹彩などの生体情報を “鍵” として使うものだ。 つまりiPhoneやAndroidデバイスに登録した生体情報により、あらゆるサイトやアプリにログインできることが目標
KeePass (KeePass Password Safe) は、フリーかつオープンソースのパスワードマネージャーである。 今の時代数十個の様々なパスワードを管理しないといけません。そこでKeePassのようなパスワードマネージャーは必須です。 パスワードマネージャーはLastPassや1Passwordなど有名なものが多数あります。 パスワードマネージャーの選び方はこちらの方のサイトを見れば一発でわかります。 結論から言うと、オンラインならbitwarden、オフラインならKeePassを使えば間違いないです。 今どきクローズドなLastPassや1Passwordを使うメリットは一切ありません。 そこで私はKeePassを使っています。 デフォルトで生成されるパスワードは長すぎる? KeePassの設定の多くは先程貼ったサイトで解説されています。 とても参考になるサイトですね。 ただ
ottoの研究チームは9月16日(米国時間)、「Chrome & Edge Enhanced Spellcheck Features Expose PII, Even Your Passwords」において、Google ChromeやMicrosoft Edgeのスペルチェック機能を有効にしている場合に、パスワードや個人情報などの機密データが漏洩する可能性があるという問題を明らかにした。 同チームのレポートによると、Chromeにおいて「拡張スペルチェック」を有効にしている場合、および、EdgeにおいてMicrosoftエディターを利用している場合、Webサイトのログインページなどで「パスワードを表示する」のチェックを入れた際にGoogleやMicrosoftに入力済みのパスワードが送信されるリスクがあるという。 この問題はGoogleやMicrosoftが意図的に仕組んだものではなく、
PowerShellの新しい認証情報管理(PowerShell Secrets Management)がGAしました | DevelopersIO
しばたです。 以前お伝えしたPowerShellの新しい認証情報管理機能(PowerShell Secrets Management)が先日ついにVer.1.0.0となり正式リリースされました。 PowerShell Teamからのアナウンスはこちらになります。 本記事ではこのモジュールについて解説して実際に試していきます。 機能の概要 このモジュールは最初PowerShell 7のマイルストーンのひとつとして複数の認証情報ストアへのアクセスを統一的に行う方法を提供する事を目的に開発が始まりました。 その後8回のプレビューリリースを経て今回の正式リリースに至っています。 この機能は以下の2つのモジュールから構成されており、それぞれ認証情報へのアクセス機能とデフォルトの認証情報ストア(Vault)の役割を担っています。 Microsoft.PowerShell.SecretManagemen
LastPass は 11 月 30 日、傘下の GoTo と共用しているサードパーティのクラウドストレージが不正アクセスを受けたと発表した (The LastPass Blog の記事、 Neowin の記事、 The Register の記事、 HackRead の記事)。 LastPass は 8 月にも開発環境が不正アクセスの被害にあっているが、開発環境に顧客のデータは含まれず、プロダクション環境とも物理的に分離しているので顧客のデータは安全だと説明していた。今回の不正アクセスは攻撃者が 8 月に入手した情報を用いており、顧客情報の特定の部分へアクセス可能だったとみられるという。ただし、LastPass では顧客のパスワード保管庫のマスターパスワードを保持していないため、パスワードは安全だとの説明を繰り返している。LastPass はクラウドストレージサービスでの通常とは異なる活動
概要 パスワードを保存する際は平文で保存せずハッシュ化するのは当然です。しかし単にハッシュ化するだけでなく 暗号学的に優れたハッシュ関数を使う saltを付ける 計算コストのかかるアルゴリズムを採用する ストレッチングで計算コストを上げる といった点を考慮することで、万が一ハッシュ化されたデータが漏洩してもそこから平文が算出されないようにすべきです。 説明 暗号学的に優れたハッシュ関数を使う ハッシュ関数は チェックサム チェックディジット フィンガープリント 誤り訂正符号 暗号学的ハッシュ関数 などで使われていますが、用途によって異なった形で設計・最適化されています。 パスワードのような秘密情報をハッシュ化する場合は暗号学的ハッシュ関数を使用します。 またその中でもMD5やSHA-1といった既に破られているアルゴリズムは採用すべきでないです。 saltを付ける 仮にハッシュ関数を適切に選
Malwarebytesは1月19日(米国時間)、「LastPass users should move their crypto funds, experts warn」において、セキュリティ専門家が、パスワード管理サービス「LastPass」のユーザーに対して暗号資金を移動するよう警告していると伝えた。複数のセキュリティ専門家ができるだけ早くLastPassで管理していたログイン情報を変更するか、別の口座に暗号資産を移動するよう注意喚起していることが明らかとなった。 LastPass users should move their crypto funds, experts warn 2022年8月にLastPassが攻撃者に侵害されて情報が漏洩し、窃取された情報にアクセスしたサイバー犯罪者がクリプトウォレットやオンラインアカウントにアクセスするためにデータの解読を行っていることが判明
新型コロナウイルスの感染拡大防止のため、リモートワークが一気に浸透しようとしている。従業員、顧客とのコミュニケーションのあり方に新たな可能性が見出される一方で、現場では様々な課題も顕在化しつつある。 そこで4月2日、Coral Seminar初のオンラインセミナー「最先端企業が取り組む、リモートワークの実態」が緊急開催された。特に議論が白熱したパネルトーク「成長スタートアップが実践する、リモートワークを成功させる工夫」から、すぐに実践できるノウハウを公開する。 <パネルトーク登壇者> ・Slack Japan シニアテクノロジーストラテジスト溝口宗太郎氏 ・すむたす代表取締役 角高広氏 ・TRUSTDOCK 代表取締役 千葉孝浩氏 ・Coral Capital パートナー 西村賢氏 ・モデレーター:Coral Capital代表兼創業パートナー James Riney氏 リモートワークで生
WWDC 2022で「Appleが撃退するもの」リスト
WWDC 2022で「Appleが撃退するもの」リスト2022.06.07 18:0019,426 Andrew Liszewski - Gizmodo US [原文] ( そうこ ) 今年は何を潰しにかかったか。 ソフトウェアやハードウェア、技術が進化していけば、今ある何かの存在意義が脅かされることもあります。今すぐなくなることはなくても、いつか振り返ったときに、アレがきっかけで衰退が始まったということはあるはず。WWDCやGoogle I/Oなど、テック業界の大きなイベントはそんなきっかけになりやすいもの。今年のWWDCは何が消えるきっかけになるのでしょう…。 パスワードマネージャーImage: AppleAppleに限らずいろんな企業が、ここ数年、パスワードを消し去ろうと努力(?)しています。パスワードに置き換わるのは、もちろん指紋認証や顔認証などの生物認証。macOS Ventur
【2020年決定版】ストップ!セルフGOX!秘密鍵を守るためのチェックリストとツールの格付け - cameong’s blog
ブロックチェーン・暗号資産と切っても切り離せないのが、鍵の紛失、いわゆるセルフGOX (セルフゴックス)です。 ビットコインやイーサリアム、NEMといった暗号資産の価格が高くなればなるほど、たくさんのセルフGOXの相談を受けます。 しかし、セルフGOXはなってからでは手遅れです。 事前の準備を整えるために、簡単なチェックリストを用意しました。 ぜひチャレンジしてみてください! 秘密鍵をなくさないためのチェックリスト 全部で7問です。 満点目指して頑張ってください。(全部2択) docs.google.com いかがでしたか? 満点だった人は、きっとセルフGOXしないでしょう。ひとまずは安心です。 5点以下だった人は、セルフGOX する可能性がそこそこあります。 最後の質問がわからなかった人は、初心者さんかもしれませんね。セルフGOX の危険性が極めて高いです。 ちなみに、セルフGOX と詐
FireScam Android info-stealing malware supports spyware capabilities | Richmond University Medical Center data breach impacted 674,033 individuals | Apple will pay $95 Million to settle lawsuit over Siri's alleged eavesdropping | LDAPNightmare, a PoC exploit targets Windows LDAP flaw CVE-2024-49113 | Around 3.3 million POP3 and IMAP mail servers lack TLS encryption | A US soldier was arrested for
複数端末からアクセスできてブラウザ拡張機能で自動入力・自動生成もこなすパスワードマネージャー「pCloud Pass」レビュー
SNSや各種ネットサービスを使用する際に必ずと言っていいほど求められる「パスワード」は、一度設定した後は流出の危険性が低い方法で管理するのが大切です。スイス発のパスワードマネージャー「pCloud Pass」を使うと、パスワードの管理・保管はもちろん、パスワードの生成や自動入力が可能とのことで、実際に使ってさまざまな機能に触れてみました。 pCloud Pass - 暗号化を提供するパスワードマネージャ https://www.pcloud.com/ja/pass.html?channelid=2703&label=Trck ◆目次 1:アカウントの作成 2:パスワードのインポート・編集 3:パスワードの自動入力が可能な拡張機能の導入 4:パスワードを他人と共有する方法 5:スマートフォンアプリの導入 6:パスワードを忘れてしまった際の回復方法 7:パスワードだけでなくメモやクレジットカー
Right before the holiday season, LastPass published an update on their breach. As people have speculated, this timing was likely not coincidental but rather intentional to keep the news coverage low. Security professionals weren’t amused, this holiday season became a very busy time for them. LastPass likely could have prevented this if they were more concerned about keeping their users secure than
LastPass says employee’s home computer was hacked and corporate vault taken
Already smarting from a breach that put partially encrypted login data into a threat actor’s hands, LastPass on Monday said that the same attacker hacked an employee’s home computer and obtained a decrypted vault available to only a handful of company developers. Although an initial intrusion into LastPass ended on August 12, officials with the leading password manager said the threat actor “was a
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます FIDO Allianceは12月8日、東京都内で会合を開き、2023年にコンシューマーブランドで70億以上のユーザーアカウントがパスキーを使ったパスワードレス認証に対応し、「パスキーの年」になったと報告した。企業内への導入も進んでいるとした。 FIDO Allianceによると、2023年時点のパスキー導入企業は、AdobeやAmazon、Apple、CVSHealth、Dashlane、DocuSign、Google、Hyatt、Instacart、Kayak、1Password、PayPal、Shopify、TikTokなどで、日本ではLINEヤフー、メルカリ、NTTドコモ、任天堂、などが導入する。また、FoxやHyatt、Int
Googleのウェブブラウザー「Chrome」から他のブラウザーに移行するのは困難だ。 私はここ数カ月、Chromeを使うのをやめようとしてきた。5月にスコットランドに旅行し、電力を自給しながら仕事をした際は、ChromeがノートPCのバッテリーをかなり消耗するので、ブラウザー移行の緊急性が高まった。ポータブル電源とソーラーパネルに依存している場合、90分長くノートPCを使えることの意義は大きい。 問題は、Chromeは単なるブラウザーというよりは、さまざまなことができるミニOSのようになっていることだ。また、現代社会で機能するために必要な膨大なデータの倉庫としての役割も果たしている。 新しいプラットフォームにシフトするのは難しい。私は気づいたら複数のブラウザーの間を行ったり来たりするようになっており、そのせいでタブやデータをあちこちに分散させてしまい、さらに問題をややこしくしている。 何
パスワード管理サービスを提供するLastPassは11月30日(米国時間)、公式ブログ「Notice of Recent Security Incident - The LastPass Blog」を更新し、同社の顧客情報にアクセスしたセキュリティインシデントについて調査中であると伝えた。先日、LastPassとその関連会社であるGoToが共有しているサードパーティのクラウドストレージサービスに、異常なアクティビティが検出されたことが報告されている。 Notice of Recent Security Incident - The LastPass Blog LastPassが利用しているクラウドストレージサービスにおいて異常なアクティビティが検出されたため、直ちに調査が開始され、Mandiantに依頼するとともに法執行機関に通報したことが明らかとなった。調査した結果、2022年8月の事件
FireScam Android info-stealing malware supports spyware capabilities | Richmond University Medical Center data breach impacted 674,033 individuals | Apple will pay $95 Million to settle lawsuit over Siri's alleged eavesdropping | LDAPNightmare, a PoC exploit targets Windows LDAP flaw CVE-2024-49113 | Around 3.3 million POP3 and IMAP mail servers lack TLS encryption | A US soldier was arrested for
1Password 8 for Mac 残念ながら、1Passwordの開発者であるAgileBitsは、Apple中心のルーツから離れつつあるようです 本日正式にリリースされた「1Password 8 for Mac」では、パスワードマネージャーがクロスプラットフォームの「Electron」開発フレームワークに移行します 基本的に、ElectronはWebアプリをパッケージ化して、ネイティブのMacアプリのように動作するようにします、これは、クロスプラットフォームの互換性には優れていますが、Mac用に設計されたように感じられるアプリになることはほとんどありません Electronは広く批判されていますが、それは当然ですが、多くのアプリはElectronがなければMacに移植されなかったかもしれません もう1つの注目すべき変更点は、「1Password 8 for Mac」でパスワードデー
GitHub flaw could have allowed attackers to takeover repositories of other users
China-linked group UNC5221 exploited Ivanti Connect Secure zero-day since mid-March | Europol-led operation shuts down CSAM platform Kidflix, leading to 79 arrests | New Triada Trojan comes preinstalled on Android devices | New advanced FIN7's Anubis backdoor allows to gain full system control on Windows | U.S. CISA adds Apache Tomcat flaw to its Known Exploited Vulnerabilities catalog | Apple bac
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Slack、不正アクセスによってソースコードが流出 ユーザーへの影響は?
Android向けパスワードマネージャーに共通する脆弱性。認証情報が漏えいする恐れ | スラド セキュリティ
意外に複雑なLinuxのパスワード生成事情とパスワード生成方法 - Qiita
LastPassがハッキング被害--ソースコードを含む技術情報が漏えい
LastPassからBitwardenへ乗り換え!PCスマホ共通かんたん移行7ステップの手順
KeePassの絶対にやっておくべき設定【デフォルト8文字】|ろく丸
Google ChromeおよびEdgeのスペルチェック機能でパスワードが漏洩する恐れ
LastPass にまた不正アクセス、今回は顧客情報の一部にもアクセスされた可能性 | スラド IT
パスワードを保存するときに考慮すること - Carpe Diem
セキュリティ専門家、LastPassユーザーに対し暗号資産を移動するよう警告
意外とツラいリモートワーク。6つの課題と成功の秘訣 | Forbes JAPAN 公式サイト(フォーブス ジャパン)
New EvilQuest ransomware targets macOS users ...
What’s in a PR statement: LastPass breach explained
2023年は「パスキーの年」--FIDOアライアンスが報告
「Chrome」ブラウザーからの乗り換えで重要な3つのステップ
パスワード管理のLastPass、クラウドストレージに異常なアクティビティ
Two kids found a screensaver bypass in Linux Mint
パスワードデータベースをローカルに保存できなくなった1Password 8 for Macの移行を考える