أصدر LastPass بيانًا مطولًا حول الانتهاك الذي تعرض له منذ بضعة أشهر. ببساطة، الأمور ليست جيدة.
قبل بضعة أسابيع، أصدر LastPass بيانًا على مدونته، حيث شارك فيه شهدت انتهاكا. في ذلك الوقت، لم يتطرق كريم توبا، الرئيس التنفيذي لشركة LastPass، إلى كل التفاصيل، واكتفى بالمشاركة في وقوع حادث أمني مع خدمة تخزين سحابية تابعة لجهة خارجية يستخدمها LastPass. الآن، تقدم الشركة تفصيلاً لما حدث، وهذا ليس جيدًا.
انتقلت توبا مرة أخرى إلى مدونة الشركة لمشاركة ما توصلت إليه فيما يتعلق بالحادث. وبحسب المنشور، لم تتأثر بيانات العملاء في هذا الهجوم، ولكن تمت سرقة "كود المصدر والمعلومات الفنية". لسوء الحظ، باستخدام هذه المعلومات، استهدف المهاجم بعد ذلك موظفًا، وحصل على بيانات الاعتماد والمفاتيح التي تم استخدامها لفك تشفير المعلومات والوصول إليها على خدمة التخزين السحابية.
من هنا، تمكن المهاجم من الوصول إلى معلومات الحساب مثل "أسماء المستخدمين النهائيين، وعناوين الفواتير، وعناوين البريد الإلكتروني، وأرقام الهواتف، وعناوين IP التي يتم من خلالها كان العملاء يصلون إلى خدمة LastPass." علاوة على ذلك، تم الحصول على بيانات قبو العميل، والتي تحتوي على "أسماء مستخدمين وكلمات مرور لموقع ويب مشفرة، وملاحظات آمنة، و بيانات مملوءة بالنموذج."
لذا ربما تسأل نفسك، ماذا يعني كل هذا بالضبط؟
حسنًا، هناك بعض الأخبار الجيدة والأخبار السيئة. أما بالنسبة للأخبار السارة، فقد تم تشفير البيانات التي تم جمعها، وتتطلب كلمة المرور الرئيسية للمستخدم لفك التشفير. الخبر السيئ هو أنه إذا كان لدى المهاجم الوقت، فيمكنه المرور وتجربة أكبر عدد ممكن من كلمات المرور لفك تشفير البيانات. يقر LastPass بأن هذا احتمال، لكنه يذكر أنه سيكون "صعبًا للغاية"، طالما أن كلمة المرور نفسها عبارة عن واحدة معقدة.
ويحذر LastPass أيضًا من أن هجمات التصيد الاحتيالي قد تصبح أكثر شيوعًا، في محاولة لمفاجأة العملاء واستخراج كلمات المرور الرئيسية. بقدر ما يمكن فعله الآن، فالأمر يتعلق فقط بالبقاء متيقظًا وعدم الوقوع فريسة لمحاولات التصيد الاحتيالي. إذا بدا الأمر خارجًا عن المألوف أو مريبًا، فابحث عنه. يتطلب LastPass كلمات مرور مكونة من 12 حرفًا على الأقل لبعض الوقت. لكن مثل هذه الانتهاكات يمكن أن تحدث، وعندما تحدث، فإنها تضع الأمور في نصابها الصحيح.
ومع ذلك، تحاول الشركة تقديم بعض الضمانات، حيث تشير إلى أن الأمر سيستغرق ملايين السنين لمحاولة تخمين كلمة مرور معقدة. بالطبع، لا ينبغي أن يريحك هذا الأمر نظرًا لوجود شخص ما لديه بياناتك المشفرة. أجرى LastPass تغييرات على بنيته التحتية، من أجل منع الانتهاكات في المستقبل، واتصل بالعملاء التجاريين ذوي المخاطر العالية لتزويدهم بالتعليمات.
مصدر: لاست باس