كان العام الماضي سيئًا بشكل خاص لمدير كلمات المرور LastPass ، حيث كشفت سلسلة من حوادث القرصنة عن بعض نقاط الضعف الخطيرة في الأمان المفترض أنه قوي للغاية. الآن ، نحن نعرف بالضبط كيف تراجعت تلك الهجمات - والحقائق مذهلة للغاية.
بدأ كل شيء في أغسطس 2022 ، عندما كشف LastPass أن أحد الفاعلين قد تعرض للتهديد سرقت رمز مصدر التطبيق. في هجوم ثانٍ لاحق ، قام المتسلل بدمج هذه البيانات مع المعلومات الموجودة في خرق منفصل للبيانات ، ثم استغل نقطة ضعف في تطبيق الوصول عن بُعد الذي يستخدمه موظفو LastPass. سمح لهم ذلك بتثبيت keylogger على كمبيوتر كبير المهندسين في الشركة.
بمجرد وضع برنامج تسجيل المفاتيح هذا في مكانه الصحيح ، يمكن للقراصنة الحصول على كلمة المرور الرئيسية للمهندس LastPass كما تم إدخاله ، مما يمنحهم حق الوصول إلى قبو الموظف - وجميع الأسرار الواردة داخل.
متعلق ب
- ربما يكون المتسللون قد سرقوا المفتاح الرئيسي إلى مدير كلمات مرور آخر
- يضيف NordPass دعمًا لمفاتيح المرور لإبعاد كلمات المرور الضعيفة
- حفر المتسللون بعمق في خرق أمان LastPass الهائل
استخدموا هذا الوصول لتصدير محتويات الخزنة. كانت بين البيانات مفاتيح فك التشفير اللازمة لإلغاء تشفير النسخ الاحتياطية للعملاء المخزنة في نظام التخزين السحابي الخاص بـ LastPass.
مقاطع الفيديو الموصى بها
هذا مهم لأن LastPass احتفظ بنسخ احتياطية للإنتاج ونسخ احتياطية مهمة لقاعدة البيانات في السحابة. كما سُرقت كمية كبيرة من بيانات العملاء الحساسة ، على الرغم من أنه يبدو أن المتسللين لم يتمكنوا من فك تشفيرها. تفاصيل صفحة دعم LastPass بالضبط ما سرق.
شفافية مشكوك فيها
لحسن الحظ بالنسبة لمستخدمي LastPass ، يبدو أن البيانات الأكثر حساسية للعملاء - مثل (معظم) عناوين البريد الإلكتروني وكلمات المرور - تم تشفيرها باستخدام طريقة انعدام المعرفة. هذا يعني أنه تم تشفيرها باستخدام مفتاح مشتق من كلمة المرور الرئيسية لكل مستخدم وغير معروف لـ LastPass. عندما سرق المتسللون بيانات LastPass ، لم يتمكنوا من الحصول على مفاتيح فك التشفير هذه لأنه لم يتم تخزينها في أي مكان بواسطة LastPass.
ومع ذلك ، تم أخذ الكثير من البيانات المهمة من قبل الجهات الفاعلة في التهديد. تضمن ذلك نسخًا احتياطية من قاعدة بيانات المصادقة متعددة العوامل في LastPass ، وأسرار واجهة برمجة التطبيقات ، والبيانات الوصفية للعملاء ، وبيانات التكوين ، والمزيد. بالإضافة إلى ذلك ، يبدو أن العديد من المنتجات بخلاف LastPass تم اختراقها أيضا.
على صفحة الدعم، قال LastPass إن الطريقة التي تم بها تنفيذ الهجوم الثاني - باستخدام تفاصيل تسجيل دخول الموظف الحقيقية - جعلت من الصعب اكتشافه. في النهاية ، أدركت الشركة أن شيئًا ما كان خاطئًا عندما حذرها نظام AWS GuardDuty Alerts من ذلك كان شخص ما يحاول استخدام أدوار Cloud Identity وإدارة الوصول لأداء مهام غير مصرح بها نشاط.
تعرض LastPass للكثير من الانتقادات بشأن طريقة تعامله مع الهجمات في الأشهر الأخيرة ، ومن غير المرجح أن يتلاشى هذا الرفض في ضوء أحدث ما تم الكشف عنه. في الواقع ، ذهبت إحدى شركات الأمن إلى حد القول إن LastPass لم يكن تطبيقًا جديرًا بالثقة وأن المستخدمين يفعلون ذلك قم بالتبديل إلى مديري كلمات مرور مختلفين.
في الوقت الحالي ، يحاول LastPass على ما يبدو إخفاء صفحات دعم الهجوم من محركات البحث عن طريق إضافة "”للصفحات. سيؤدي ذلك فقط إلى زيادة صعوبة اكتشاف المستخدمين (والعالم بأسره) لما حدث ، ويبدو أنه لم يتم القيام به في جو من الشفافية والمساءلة. لم يتم نشر أي شيء في مدونة الشركة أيضًا.
إذا كنت أحد عملاء LastPass ، فقد يكون من الأفضل العثور على تطبيق بديل. لحسن الحظ ، هناك الكثير من الأشياء الأخرى مدراء كلمات مرور رائعة هناك يمكنه حماية معلوماتك المهمة بشكل موثوق.
توصيات المحررين
- تم اختراق كلمات المرور المحرجة هذه للمشاهير
- لا ، 1Password لم يتم اختراقه - هذا ما حدث بالفعل
- قد لا يتم إصلاح هذا الاستغلال الضخم لإدارة كلمات المرور
- أفضل برامج إدارة كلمات المرور لعام 2023
- هل تستخدم LastPass؟ تقول شركة الأمن ، إنك بحاجة إلى التبديل بشكل عاجل
ترقية نمط حياتكتساعد الاتجاهات الرقمية القراء على متابعة عالم التكنولوجيا سريع الخطى من خلال أحدث الأخبار ومراجعات المنتجات الممتعة والافتتاحيات الثاقبة والنظرات الخاطفة الفريدة من نوعها.
