▪︎ مجلس نيوز
يحتوي LastPass على مجموعة من ملفات إعلان محدث حول اختراق حديث للبيانات: تقول الشركة – التي وعدت بالاحتفاظ بكل كلمات المرور الخاصة بك في مكان واحد وآمن – أن المتسللين كانوا قادرين على “نسخ نسخة احتياطية من بيانات قبو العميل” ، مما يعني أن بإمكانهم الآن نظريًا الوصول إلى كل كلمات المرور هذه إذا تمكنوا من كسر الخزائن المسروقة (عبر تك كرانش).
إذا كان لديك حساب تستخدمه لتخزين كلمات المرور ومعلومات تسجيل الدخول على LastPass ، أو إذا كان لديك حساب ولم تحذفه قبل هذا الخريف ، فقد يكون مخزن كلمات المرور الخاص بك في أيدي المتسللين. ومع ذلك ، تدعي الشركة أنك قد تكون آمنًا إذا كان لديك كلمة مرور رئيسية قوية وأحدث إعداداتها الافتراضية. ومع ذلك ، إذا كانت لديك كلمة مرور رئيسية ضعيفة أو مستوى أمان أقل ، تقول الشركة “كإجراء أمني إضافي ، يجب أن تفكر في تقليل المخاطر عن طريق تغيير كلمات مرور مواقع الويب التي قمت بتخزينها”.
قد يعني ذلك تغيير كلمات المرور لكل موقع ويب تثق في LastPass لتخزينه.
بينما يصر LastPass على أن كلمات المرور لا تزال مؤمنة بواسطة كلمة المرور الرئيسية للحساب ، فمن الصعب أن تأخذ كلمته في هذه المرحلة ، بالنظر إلى كيفية تعامله مع هذه الإفصاحات.
عندما أعلنت الشركة أنه تم اختراقها في أغسطس ، قالت إنها لا تعتقد أنه تم الوصول إلى بيانات المستخدمين. بعد ذلك ، في نوفمبر ، قالت LastPass إنها اكتشفت اقتحامًا ، والذي اعتمد على ما يبدو على المعلومات المسروقة في حادثة أغسطس (كان من الجيد أن نسمع عن هذا الاحتمال في وقت ما بين أغسطس ونوفمبر). يسمح هذا التطفل لشخص ما “بالوصول إلى عناصر معينة” من معلومات العميل. اتضح أن هذه “العناصر المحددة” كانت ، كما تعلم ، أهم الأشياء التي يخزنها LastPass وسرية. تقول الشركة إنه “لا يوجد دليل على أنه تم الوصول إلى أي بيانات بطاقة ائتمان غير مشفرة” ، ولكن من المحتمل أن يكون ذلك أفضل مما أفلت به المتسللون بالفعل. على الأقل من السهل إلغاء بطاقة أو اثنتين.
تم نسخ نسخة احتياطية من خزائن العملاء من التخزين السحابي
سنصل إلى كيفية حدوث كل هذا بعد قليل ، ولكن هذا ما يقوله الرئيس التنفيذي لشركة LastPass كريم طوبا عن الخزائن التي يتم أخذها:
تمكن ممثل التهديد أيضًا من نسخ نسخة احتياطية من بيانات خزنة العميل من حاوية التخزين المشفرة التي يتم تخزينها في تنسيق ثنائي خاص يحتوي على بيانات غير مشفرة ، مثل عناوين URL لموقع الويب ، بالإضافة إلى الحقول الحساسة المشفرة بالكامل مثل أسماء مستخدمي مواقع الويب وكلمات المرور والملاحظات الآمنة والبيانات المملوءة بالنماذج.
يقول Toubba إن الطريقة الوحيدة التي يمكن للممثل الخبيث من خلالها الوصول إلى تلك البيانات المشفرة ، وبالتالي كلمات المرور الخاصة بك ، ستكون باستخدام كلمة مرورك الرئيسية. يقول LastPass إنه لم يكن لديه مطلقًا إمكانية الوصول إلى كلمات المرور الرئيسية.
لهذا السبب ، قال ، “سيكون من الصعب للغاية محاولة إجبار كلمات المرور الرئيسية على التخمين” طالما كان لديك كلمة مرور رئيسية جيدة جدًا لم تعد استخدامها مطلقًا (وطالما لم يكن هناك بعض العيوب الفنية في الطريق قام LastPass بتشفير البيانات – على الرغم من أن الشركة قامت ببعضها أخطاء أمنية أساسية جدًا من قبل). ولكن يمكن لأي شخص لديه هذه البيانات محاولة فتحها عن طريق تخمين كلمات مرور عشوائية ، أو التأثير الغاشم AKA.
يقول LastPass أن استخدام الإعدادات الافتراضية الموصى بها ينبغي يحميك من هذا النوع من الهجوم ، لكنه لا يذكر أي نوع من الميزات التي من شأنها أن تمنع شخصًا ما من محاولة فتح قبو مرارًا وتكرارًا لأيام أو شهور أو سنوات. هناك أيضًا احتمال أن تكون كلمات المرور الرئيسية للأشخاص يمكن الوصول إليها بطرق أخرى – إذا أعاد شخص ما استخدام كلمة المرور الرئيسية الخاصة به لعمليات تسجيل الدخول الأخرى ، فربما تكون قد تسربت أثناء عمليات اختراق البيانات الأخرى.
تجدر الإشارة أيضًا إلى أنه إذا كان لديك حساب قديم (قبل الإعداد الافتراضي الأحدث الذي تم تقديمه بعد 2018) ، فربما تم استخدام عملية أضعف لتعزيز كلمة المرور لحماية كلمة مرورك الرئيسية. وفقًا لـ LastPass ، فإنه يستخدم حاليًا “تنفيذًا أقوى من المعتاد لـ 100100 تكرار لوظيفة اشتقاق المفتاح المستند إلى كلمة المرور” ، ولكن عند حافة فحص أحد الموظفين حساباتهم القديمة باستخدام رابط قامت الشركة بتضمينها في مدونتها ، وأخبرتهم أن حسابهم قد تم تعيينه على 5000 تكرار.
ربما يكون الشيء الأكثر إثارة للقلق هو البيانات غير المشفرة – نظرًا لأنها تتضمن عناوين URL ، فقد تعطي المتسللين فكرة عن مواقع الويب التي لديك حسابات بها. إذا قرروا استهداف مستخدمين معينين ، فقد تكون هذه معلومات قوية عند دمجها مع التصيد الاحتيالي أو أنواع أخرى من الهجمات.
إذا كنت أحد عملاء LastPass ، فلن أكون سعيدًا بكيفية إفصاح الشركة عن هذه المعلومات
على الرغم من أن أيًا من ذلك لا يعد خبراً رائعًا ، إلا أنه من الممكن ، من الناحية النظرية ، أن يحدث لأي شركة تقوم بتخزين الأسرار في السحابة. في الأمن السيبراني ، اسم اللعبة ليس له سجل حافل بنسبة 100٪ ؛ إنها الطريقة التي تستجيب بها للكوارث عند حدوثها.
وهذا هو المكان الذي فشل فيه LastPass تمامًا ، في رأيي.
تذكر أنها تصدر هذا الإعلان اليوم ، في 22 ديسمبر – قبل ثلاثة أيام من عيد الميلاد ، وهو الوقت الذي يكون فيه العديد من أقسام تكنولوجيا المعلومات في إجازة إلى حد كبير ، وعندما لا يكون من المحتمل أن يهتم الأشخاص بالتحديثات من مدير كلمات المرور الخاصة بهم.
(أيضًا ، لا يصل الإعلان إلى الجزء المتعلق بنسخ الخزائن حتى خمس فقرات في. وبينما تكون بعض المعلومات غامقة ، أعتقد أنه من العدل أن نتوقع أن يكون مثل هذا الإعلان المهم في القمة).
يقول LastPass أن النسخ الاحتياطي للمخزن لم يتم اختراقه في البداية في أغسطس ؛ بدلاً من ذلك ، تكمن قصته في أن الفاعل المهدد استخدم معلومات من هذا الانتهاك لاستهداف موظف لديه حق الوصول إلى خدمة تخزين سحابية تابعة لجهة خارجية. تم تخزين الخزائن ونسخها من أحد المجلدات التي تم الوصول إليها في هذا التخزين السحابي ، جنبًا إلى جنب مع النسخ الاحتياطية التي تحتوي على “معلومات حساب العميل الأساسية والبيانات الوصفية ذات الصلة”. يتضمن ذلك أشياء مثل “أسماء الشركات وأسماء المستخدمين النهائيين وعناوين الفواتير وعناوين البريد الإلكتروني وأرقام الهواتف وعناوين IP التي كان العملاء يصلون من خلالها إلى خدمة LastPass” ، وفقًا لـ LastPass.
يقول طوبا إن الشركة تتخذ جميع أنواع الاحتياطات نتيجة الاختراق الأولي ، والخرق الثانوي الذي كشف النسخ الاحتياطية ، بما في ذلك إضافة المزيد من التسجيل للكشف عن نشاط مشبوه في المستقبل ، وإعادة بناء بيئة التطوير الخاصة بها ، وتناوب بيانات الاعتماد والمزيد.
كل هذا جيد ، ويجب أن تفعل هذه الأشياء. ولكن إذا كنت من مستخدمي LastPass ، فسأفكر بجدية في الابتعاد عن الشركة في هذه المرحلة ، لأننا ننظر إلى أحد السيناريوهين هنا: إما أن الشركة لم تكن تعلم أن النسخ الاحتياطية التي تحتوي على خزائن المستخدمين كانت قيد التشغيل خدمة التخزين السحابي عندما أعلنت أنها اكتشفت نشاطًا غير عادي هناك في 30 نوفمبر ، أو ذلك فعلت يعرف ويختار عدم إخبار العملاء بإمكانية وصول المتسللين إليها. لا أحد من هؤلاء هو نظرة جيدة.