लास्टपास से पता चलता है कि यह कैसे हैक हुआ - और यह अच्छी खबर नहीं है

पिछला साल पासवर्ड मैनेजर लास्टपास के लिए विशेष रूप से बुरा था, क्योंकि हैकिंग की घटनाओं की एक श्रृंखला ने इसकी कथित रूप से मजबूत सुरक्षा में कुछ गंभीर कमजोरियों का खुलासा किया था। अब, हम ठीक-ठीक जानते हैं कि वे हमले कैसे हुए - और तथ्य बहुत लुभावने हैं।

यह सब अगस्त 2022 में शुरू हुआ, जब लास्टपास ने खुलासा किया कि एक अभिनेता को खतरा था ऐप का सोर्स कोड चुरा लिया. दूसरे, बाद के हमले में, हैकर ने इस डेटा को एक अलग डेटा उल्लंघन में मिली जानकारी के साथ जोड़ दिया, फिर लास्टपास कर्मचारियों द्वारा उपयोग किए जाने वाले रिमोट-एक्सेस ऐप में कमजोरी का फायदा उठाया। इससे उन्हें कंपनी के एक वरिष्ठ इंजीनियर के कंप्यूटर पर कीलॉगर स्थापित करने की अनुमति मिल गई।

एक बार जब वह कीलॉगर स्थापित हो गया, तो हैकर्स इंजीनियर का लास्टपास मास्टर पासवर्ड हासिल कर सकते थे जैसा कि इसे दर्ज किया गया था, उन्हें कर्मचारी की तिजोरी तक पहुंच प्रदान की गई - और इसमें मौजूद सभी रहस्य अंदर।

उन्होंने उस पहुंच का उपयोग तिजोरी की सामग्री को निर्यात करने के लिए किया। डेटा के बीच लास्टपास के क्लाउड स्टोरेज सिस्टम में संग्रहीत ग्राहक बैकअप को अनएन्क्रिप्ट करने के लिए आवश्यक डिक्रिप्शन कुंजियाँ थीं।

यह महत्वपूर्ण है क्योंकि लास्टपास ने उत्पादन बैकअप और महत्वपूर्ण डेटाबेस बैकअप को क्लाउड में रखा है। बड़ी मात्रा में संवेदनशील ग्राहक डेटा भी चोरी हो गया, हालांकि ऐसा प्रतीत होता है कि हैकर्स इसे डिक्रिप्ट करने में सक्षम नहीं थे। लास्टपास सहायता पृष्ठ विवरण वास्तव में क्या चोरी हुआ था.

संदिग्ध पारदर्शिता

सौभाग्य से लास्टपास उपयोगकर्ताओं के लिए, ऐसा लगता है कि ग्राहकों का सबसे संवेदनशील डेटा - जैसे (अधिकांश) ईमेल पते और पासवर्ड - शून्य-ज्ञान पद्धति का उपयोग करके एन्क्रिप्ट किए गए थे। इसका मतलब है कि उन्हें प्रत्येक उपयोगकर्ता के मास्टर पासवर्ड से प्राप्त एक कुंजी के साथ एन्क्रिप्ट किया गया था और लास्टपास के लिए अज्ञात था। जब हैकर्स ने लास्टपास डेटा चुराया, तो वे इन डिक्रिप्शन कुंजियों को प्राप्त करने में असमर्थ थे क्योंकि उन्हें लास्टपास द्वारा कहीं भी संग्रहीत नहीं किया गया था।

जैसा कि कहा गया है, धमकी देने वाले अभिनेताओं द्वारा बहुत सारे महत्वपूर्ण डेटा ले लिए गए थे। इसमें लास्टपास के मल्टी-फैक्टर ऑथेंटिकेशन डेटाबेस, एपीआई सीक्रेट्स, ग्राहक मेटाडेटा, कॉन्फ़िगरेशन डेटा और बहुत कुछ का बैकअप शामिल था। साथ ही, यह लास्टपास के अलावा कई उत्पाद प्रतीत होता है का भी उल्लंघन किया गया.

एक पर समर्थनकारी पृष्ठ, लास्टपास ने कहा कि जिस तरह से दूसरा हमला किया गया - वास्तविक कर्मचारी लॉगिन विवरण का उपयोग करके - इसका पता लगाना मुश्किल हो गया। अंत में, कंपनी को एहसास हुआ कि कुछ गड़बड़ है जब उसके AWS गार्डड्यूटी अलर्ट सिस्टम ने उसे चेतावनी दी कोई व्यक्ति अनधिकृत प्रदर्शन के लिए इसकी क्लाउड आइडेंटिटी और एक्सेस प्रबंधन भूमिकाओं का उपयोग करने का प्रयास कर रहा था गतिविधि।

हाल के महीनों में हमलों से निपटने के तरीके को लेकर लास्टपास की काफी आलोचना हुई है और नवीनतम खुलासों के आलोक में यह अस्वीकृति कम होने की संभावना नहीं है। दरअसल, एक सुरक्षा कंपनी ने यहां तक ​​कह दिया कि लास्टपास एक भरोसेमंद ऐप नहीं है और उपयोगकर्ता ऐसा कर सकते हैं विभिन्न पासवर्ड प्रबंधकों पर स्विच करें.

अभी, लास्टपास स्पष्ट रूप से "जोड़कर" अपने आक्रमण समर्थन पृष्ठों को खोज इंजन से छिपाने की कोशिश कर रहा है।पेजों के लिए कोड। इससे उपयोगकर्ताओं (और व्यापक दुनिया) के लिए यह पता लगाना और अधिक कठिन हो जाएगा कि क्या हुआ और शायद ही पारदर्शिता और जवाबदेही की भावना से ऐसा किया गया लगता है। कंपनी ब्लॉग पर भी कुछ प्रकाशित नहीं किया गया है।

यदि आप लास्टपास ग्राहक हैं, तो वैकल्पिक ऐप ढूंढना बेहतर हो सकता है। सौभाग्य से, वहाँ बहुत सारे अन्य हैं शानदार पासवर्ड मैनेजर वहाँ जो आपकी महत्वपूर्ण जानकारी को विश्वसनीय रूप से सुरक्षित रख सकता है।

संपादकों की सिफ़ारिशें

• सेलिब्रिटीज के ये शर्मनाक पासवर्ड हो गए हैक!
• नहीं, 1 पासवर्ड हैक नहीं किया गया था - यहाँ वास्तव में क्या हुआ है
• यह विशाल पासवर्ड मैनेजर का शोषण कभी भी ठीक नहीं हो सकता है
• 2023 के लिए सर्वश्रेष्ठ पासवर्ड मैनेजर
• लास्टपास का उपयोग कर रहे हैं? सुरक्षा फर्म का कहना है, आपको तत्काल स्विच करने की आवश्यकता है

अपनी जीवनशैली को उन्नत करेंडिजिटल ट्रेंड्स पाठकों को सभी नवीनतम समाचारों, मजेदार उत्पाद समीक्षाओं, व्यावहारिक संपादकीय और एक तरह की अनूठी झलक के साथ तकनीक की तेज़ गति वाली दुनिया पर नज़र रखने में मदद करता है।