लास्टपास ने अपने उल्लंघन के बारे में विवरण साझा किया है - व्यक्तिगत जानकारी और एन्क्रिप्टेड पासवर्ड वॉल्ट की चोरी

लास्टपास ने कुछ महीने पहले हुए उल्लंघन के बारे में एक लंबा बयान जारी किया है। सीधे शब्दों में कहें तो हालात अच्छे नहीं हैं।

कुछ हफ़्ते पहले, लास्टपास ने अपने ब्लॉग पर एक बयान जारी किया था, जिसमें उसने यह साझा किया था उल्लंघन का अनुभव हुआ. उस समय, लास्टपास के सीईओ, करीम टुब्बा ने सभी विवरणों में शामिल नहीं हुए, केवल यह साझा किया कि लास्टपास द्वारा उपयोग की जाने वाली तृतीय-पक्ष क्लाउड स्टोरेज सेवा के साथ एक सुरक्षा घटना हुई थी। अब, कंपनी जो कुछ हुआ उसका विस्तृत विवरण दे रही है, और यह अच्छा नहीं है।

टुब्बा ने एक बार फिर कंपनी के ब्लॉग पर घटना के संबंध में जो पाया उसे साझा किया। पोस्ट के मुताबिक, इस हमले में ग्राहकों का डेटा प्रभावित नहीं हुआ, लेकिन 'सोर्स कोड और तकनीकी जानकारी' चोरी हो गई. दुर्भाग्य से, इस जानकारी के साथ, हमलावर ने फिर एक कर्मचारी को निशाना बनाया, क्रेडेंशियल और कुंजियाँ प्राप्त कीं जिनका उपयोग क्लाउड-आधारित भंडारण सेवा पर जानकारी को डिक्रिप्ट और एक्सेस करने के लिए किया गया था।

यहां से, हमलावर "अंतिम-उपयोगकर्ता नाम, बिलिंग पते, ईमेल पते, टेलीफोन नंबर और आईपी पते जैसी खाता जानकारी तक पहुंचने में सक्षम था, जहां से ग्राहक लास्टपास सेवा का उपयोग कर रहे थे।" इसके अलावा, ग्राहक वॉल्ट डेटा प्राप्त किया गया था, जिसमें एन्क्रिप्टेड "वेबसाइट उपयोगकर्ता नाम और पासवर्ड, सुरक्षित नोट्स, और फॉर्म भरा हुआ डेटा।"

तो आप स्वयं से पूछ रहे होंगे कि वास्तव में इस सबका मतलब क्या है?

खैर, कुछ अच्छी ख़बरें और बुरी ख़बरें हैं। जहां तक ​​अच्छी खबर की बात है, एकत्र किया गया डेटा एन्क्रिप्ट किया गया था, और डिक्रिप्ट करने के लिए उपयोगकर्ता के मास्टर पासवर्ड की आवश्यकता होती है। बुरी खबर यह है कि यदि हमलावर के पास समय है, तो वे डेटा को डिक्रिप्ट करने के लिए जितना आवश्यक हो उतने पासवर्ड आज़मा सकते हैं। लास्टपास स्वीकार करता है कि यह एक संभावना है, लेकिन यह बताता है कि यह "बेहद कठिन" होगा, जब तक कि पासवर्ड स्वयं एक जटिल एक.

लास्टपास यह भी चेतावनी देता है कि ग्राहकों को चकमा देने और मास्टर पासवर्ड निकालने के प्रयास में फ़िशिंग हमले अधिक आम हो सकते हैं। जहां तक ​​अब क्या किया जा सकता है, यह वास्तव में सतर्क रहने और फ़िशिंग प्रयासों का शिकार न होने के बारे में है। यदि यह सामान्य से हटकर या संदिग्ध लगता है, तो इस पर शोध करें। पिछले कुछ समय से LastPass के लिए कम से कम 12 अक्षर के पासवर्ड की आवश्यकता होती है। लेकिन इस तरह के उल्लंघन हो सकते हैं और जब वे ऐसा करते हैं, तो यह वास्तव में चीजों को परिप्रेक्ष्य में रखता है।

हालाँकि, कंपनी यह कहते हुए कुछ आश्वासन देने का प्रयास करती है कि एक जटिल पासवर्ड का अनुमान लगाने और उसका अनुमान लगाने में लाखों वर्ष लगेंगे। निःसंदेह, इससे वास्तव में आपके दिमाग को राहत नहीं मिलनी चाहिए क्योंकि वहाँ कोई है जिसके पास आपका एन्क्रिप्टेड डेटा है। भविष्य में उल्लंघनों को रोकने के लिए लास्टपास ने अपने बुनियादी ढांचे में बदलाव किए हैं और निर्देशों के साथ उच्च जोखिम वाले व्यावसायिक ग्राहकों से संपर्क किया है।


स्रोत: लास्ट पास