اطلاعات کاربر LastPass در معرض نقض داده ها قرار گرفت


چه اتفاقی افتاده؟ LastPass، مدیر رمز عبور محبوبی که بیش از 33 میلیون مشتری و 100000 کاربر تجاری دارد، دوباره هک شد. این شرکت می‌گوید که برخلاف دفعه قبل، داده‌های کاربر در این رویداد اخیر فاش شد، اما شرکت تاکید می‌کند که رمزهای عبور به خطر نیفتاده‌اند.

کریم توبا، مدیرعامل LastPass می‌نویسد که LastPass اخیراً فعالیت غیرعادی را در یک سرویس ذخیره‌سازی ابری شخص ثالث که سازمان و شرکت وابسته GoTo در حال حاضر به اشتراک می‌گذارند، شناسایی کرده است.

مشخص شده است که هکرها توانسته‌اند به «عناصر خاصی» از داده‌های مشتریان دسترسی پیدا کنند. این با استفاده از اطلاعات به دست آمده از هک LastPass در ماه آگوست به دست آمد، زمانی که مجرمان سایبری بخش هایی از کد منبع داخلی سایت و اسناد مربوط به اطلاعات فنی مناسب را گرفتند. هکرها در آن مناسبت با استفاده از یک حساب توسعه‌دهنده به خطر افتاده دسترسی پیدا کردند و به مدت چهار روز سیستم‌ها را پیش از کشف و بوت کردن، زیر نظر گرفتند.

بدیهی است که هرگونه نقض امنیتی در مدیر رمز عبور نگرانی هایی را در مورد رمزهای عبور دزدیده شده ایجاد می کند، اما LastPass تاکید می کند که به لطف معماری Zero Knowledge، که تضمین می کند فقط کاربر رمز عبور اصلی را می داند و رمزگذاری فقط در سطح دستگاه انجام می شود، امن باقی می مانند. به این ترتیب، LastPass به کاربران توصیه نمی کند که رمز عبور خود را تغییر دهند.

توبا گفت که LastPass به کار بر روی درک دامنه حادثه و شناسایی اطلاعات خاصی که به آنها دسترسی پیدا کرده است، ادامه می دهد. این شرکت امنیتی پیشرو Mandiant را درگیر کرده و به اجرای قانون هشدار داده است.

علیرغم اینکه بسیار محبوب و نرم افزاری عالی است، این موقعیت دیگری است که اقدامات امنیتی LastPass زیر سوال رفته است. در سال 2019، این شرکت یک نقص امنیتی را اصلاح کرد که می‌توانست به هکرها اجازه دهد تا جزئیات ورود آخرین کاربران سایتی را که بازدید کرده‌اند را حذف کنند. همچنین در سال 2017 یک آسیب پذیری افزونه مرورگر وجود داشت.

در ماه دسامبر، کاربران LastPass گزارش دادند که افراد سعی می‌کنند با استفاده از رمز عبور اصلی خود از مکان‌های ناشناخته وارد حساب‌های خود شوند. این شرکت ادعا کرد که اینها احتمالاً نتیجه استفاده مجدد مشتریان از رمزهای عبور در چندین سایت است.

اگر از کاربران LastPass هستید که نگران این حوادث هستید، دانلود برنامه authenticator برای کمک به محافظت از حساب خود با نیاز به کدهای احراز هویت دو مرحله ای هنگام ورود به سیستم، یک لایه حفاظتی اضافی اضافه می کند.





منبع