LastPass نحوه هک شدن آن را فاش می کند – و این خبر خوبی نیست

سال گذشته برای مدیر رمز عبور LastPass سال بدی بود، زیرا مجموعه ای از حوادث هک برخی از ضعف های جدی را در امنیت ظاهراً قوی آن آشکار کرد. اکنون ما دقیقاً می دانیم که این حملات چگونه رخ داده اند – و حقایق کاملاً نفس گیر هستند.

همه چیز در آگوست 2022 شروع شد، زمانی که LastPass فاش کرد که یک تهدید کد منبع برنامه را دزدیده است. در دومین حمله بعدی، هکر این داده ها را با اطلاعات کشف شده در یک نقض داده جداگانه ترکیب کرد، سپس از ضعف یک برنامه دسترسی از راه دور مورد استفاده کارمندان LastPass استفاده کرد. این به آنها اجازه می داد تا یک کی لاگر را روی کامپیوتر یک مهندس ارشد شرکت نصب کنند.

هنگامی که این کی لاگر در محل قرار گرفت، هکرها توانستند رمز اصلی LastPass مهندس را در حین وارد کردن آن بگیرند و به آنها اجازه دسترسی به صندوق کارمند و تمام اسرار موجود در آن را بدهند.

آنها از این دسترسی برای صادرات محتویات طاق استفاده کردند. در میان داده‌ها، کلیدهای رمزگشایی مورد نیاز برای رمزگشایی پشتیبان‌های مشتری ذخیره‌شده در سیستم ذخیره‌سازی ابری LastPass وجود داشت.

این مهم است زیرا LastPass از پشتیبان گیری تولید و پشتیبان گیری حیاتی از پایگاه های داده در فضای ابری پشتیبانی می کند. مقدار زیادی از داده های حساس مشتری نیز به سرقت رفت، اگرچه به نظر می رسد هکرها قادر به رمزگشایی آن نبودند. یک صفحه پشتیبانی LastPass دقیقاً آنچه را که به سرقت رفته است، توضیح می دهد.

شفافیت مشکوک

خوشبختانه برای کاربران LastPass، به نظر می رسد که بیشتر داده های حساس مشتری – مانند (بیشتر) آدرس های ایمیل و رمز عبور – با استفاده از روش دانش صفر رمزگذاری شده اند. این بدان معناست که آنها با یک کلید مشتق شده از رمز عبور اصلی هر کاربر و برای LastPass ناشناخته رمزگذاری شده اند. زمانی که هکرها داده‌ها را از LastPass دزدیدند، نمی‌توانستند این کلیدهای رمزگشایی را به دست آورند، زیرا آنها در هیچ کجا توسط LastPass ذخیره نمی‌شدند.

با این حال، بسیاری از داده های مهم از تهدیدات گرفته شده است. این شامل پشتیبان‌گیری از پایگاه داده LastPass MFA، اسرار API، ابرداده مشتری، داده‌های پیکربندی و موارد دیگر می‌شود. علاوه بر این، به نظر می رسد که بسیاری از محصولات علاوه بر LastPass نیز هک شده اند.

در یک صفحه پشتیبانی، LastPass گفت که نحوه انجام حمله دوم – با استفاده از ورود به سیستم واقعی کارکنان – تشخیص آن را دشوار کرده است. زمانی که سیستم هشدار AWS GuardDuty Alerts این شرکت به آن هشدار داد که فردی در تلاش است از نقش‌های Cloud Identity و Access Management برای انجام فعالیت‌های غیرمجاز استفاده کند، سرانجام متوجه شد که مشکلی وجود دارد.

LastPass به دلیل مدیریت حملات در ماه‌های اخیر مورد انتقادهای زیادی قرار گرفته است و بعید است که با توجه به آخرین افشاگری‌ها، این عدم تایید کاهش یابد. در واقع، یک شرکت امنیتی تا آنجا پیش رفت که گفت LastPass یک برنامه قابل اعتماد نیست و کاربران باید به مدیریت رمزهای عبور مختلف روی بیاورند.

در حال حاضر، LastPass ظاهراً در تلاش است تا صفحات پشتیبانی حملات خود را از موتورهای جستجو مخفی کند با افزودن «” کد به صفحات. این فقط درک آنچه اتفاق افتاده را برای کاربران (و در کل جهان) سخت‌تر می‌کند و به نظر نمی‌رسد که با روحیه شفافیت و مسئولیت‌پذیری انجام شود. در وبلاگ این شرکت نیز چیزی درج نشده است.

اگر مشتری LastPass هستید، شاید بهتر باشد یک برنامه جایگزین پیدا کنید. خوشبختانه، بسیاری از مدیران رمز عبور عالی دیگر وجود دارند که می توانند به طور قابل اعتماد از اطلاعات مهم شما محافظت کنند.

اخبار فناوری امروز که برای صندوق ورودی شما تنظیم و فشرده شده است

ایمیل خود را چک کنید!

لطفاً برای ادامه یک آدرس ایمیل معتبر ارائه دهید.

این آدرس ایمیل در حال حاضر ثبت شده است. اگر خبرنامه دریافت نمی کنید، لطفاً پوشه اسپم خود را بررسی کنید.

با عرض پوزش، در حین اشتراک خطایی رخ داد. لطفاً بعداً دوباره امتحان کنید.

توصیه های سردبیران