أعلن مدير كلمات المرور المحاصر LastPass عن خطأ أمني خطير آخر ، وهذه المرة ، قد يكون القشة الأخيرة لبعض المستخدمين.
لأشهر ، كانت الشركة تقدم بشكل دوري تحديثات حول سيئة خرق البيانات التي حدثت في أغسطس الماضي. في ذلك الوقت ، كشف LastPass أن مجرم إلكتروني تمكن من شق طريقه إلى بيئة تطوير الشركة وسرقة بعض التعليمات البرمجية المصدر ولكن ادعى لم يكن هناك “دليل” على أن أي بيانات مستخدم قد تم اختراقها نتيجة لذلك. ثم ، في ديسمبر ، قامت الشركة بصنع ملف تحديث، وكشف عن ذلك ، حسنًا ، في الواقع ، نعم ، بعض معلومات المستخدم ملك تم اختراقه ، ولكن لا يمكن مشاركة ما تأثر به بالضبط. بعد عدة أسابيع فعل يكشف ما تم تأثره: بيانات خزينة المستخدمين ، والتي ، في ظل الظروف القصوى المناسبة ، يمكن أن تؤدي إلى عمليات اختراق كاملة للحساب. والآن ، أخيرًا ، قدمت LastPass حتى الآن أكثر تفاصيل ، تكشف أن تداعيات الاختراق كانت أسوأ مما كان يتصور سابقًا. ربما يكفي جعل بعض المستخدمين يركضون وهم يصرخون من أجل التلال.
وفقا ل بيان صحفي نُشر يوم الإثنين ، سمح خرق البيانات الأولي لشهر أغسطس لمجرم الإنترنت المعني باختراق الكمبيوتر المنزلي لأحد أكثر موظفي LastPass امتيازًا – مهندس كبير في DevOps ، وواحد من أربعة موظفين فقط لديهم إمكانية الوصول إلى مفاتيح فك التشفير التي يمكنها فتح السحابة المشتركة للمنصة. بيئة. قام المخترق لاحقًا بربط جهاز الكمبيوتر الخاص بالمهندس باستخدام أداة تسجيل المفاتيح ، مما سمح لهم بسرقة كلمة مرور LastPass الرئيسية الخاصة بهم. باستخدام PW ، تمكن المجرم الإلكتروني من اختراق خزنة كلمة مرور المهندس ، وقام بإخراج مفاتيح فك التشفير اللازمة من حساب المهندس ، وشرع في اختراق بيئة السحابة المشتركة لـ LastPass ، حيث سرقوا حمولة كاملة من البيانات المهمة.
تقر الشركة بأن المخترق “قام بتصدير إدخالات قبو الشركة الأصلية ومحتوى المجلدات المشتركة ، والتي تحتوي على ملاحظات آمنة مشفرة مع مفاتيح الوصول وفك التشفير اللازمة للوصول إلى النسخ الاحتياطية لإنتاج AWS S3 LastPass ، وموارد التخزين الأخرى المستندة إلى مجموعة النظراء ، وبعض الموارد الهامة ذات الصلة. النسخ الاحتياطية لقاعدة البيانات “
باختصار: yikes ، yikes ، yikes.
يكفي أن نقول إن هذا لن يجعل معظم عملاء المنصة سعداء للغاية. إن الدرجة التي تمكن فيها المجرم الإلكتروني من اختراق دفاعات الشركة تثير القلق بالتأكيد. في الواقع ، مراسل الأمن جوزيف كوكس في Motherboard هو التوصية أن مستخدمي الويب يبتعدون عن LastPass تمامًا. في مقالته حول أحدث المعلومات التي تم الكشف عنها ، قام كوكس بوضع مدير كلمات المرور بسبب الأخطاء الأمنية ، وتكتيكات العلاقات العامة المراوغة ، والافتقار إلى الشفافية:
LastPass ، مدير كلمات المرور الشهير ، هو نية حسنة. منذ أن كشفت الشركة لأول مرة عن خرق في أغسطس ، قامت ببطء بتزويد المستهلكين بقطرات من المعلومات ، والتفاصيل الجديدة التي تظهر بشكل متزايد ترسم صورة شركة لا ينبغي الوثوق بها بكلمات المرور الخاصة بك.
أنهى كوكس مقالته بالإشارة إلى أن “الوقت قد حان للعثور على مدير كلمات مرور آخر.” لأكثر من عدد قليل من المستخدمين ، هم بلا شك على نفس الصفحة.