LastPass แบ่งปันรายละเอียดเกี่ยวกับการละเมิด — ข้อมูลส่วนบุคคลและห้องเก็บรหัสผ่านที่เข้ารหัสถูกขโมย

มือถือSep 27, 2023

LastPass ได้ออกแถลงการณ์ฉบับยาวเกี่ยวกับการละเมิดที่เกิดขึ้นเมื่อหลายเดือนก่อน พูดง่ายๆ ก็คือ สิ่งต่างๆ ไม่ดี

ไม่กี่สัปดาห์ที่ผ่านมา LastPass ได้ออกแถลงการณ์ในบล็อกของตนโดยแชร์ว่ามี ประสบกับการละเมิด. ในเวลานั้น Karim Toubba ซีอีโอของ LastPass ไม่ได้ลงรายละเอียดทั้งหมด เพียงแต่แชร์ว่าเหตุการณ์ด้านความปลอดภัยเกิดขึ้นกับบริการจัดเก็บข้อมูลบนคลาวด์ของบุคคลที่สามที่ LastPass ใช้ ตอนนี้บริษัทกำลังแจกแจงรายละเอียดของสิ่งที่เกิดขึ้น ซึ่งมันไม่ดีเลย

Toubba ไปที่บล็อกของบริษัทอีกครั้งเพื่อแบ่งปันสิ่งที่พบเกี่ยวกับเหตุการณ์ดังกล่าว ตามโพสต์ดังกล่าว ในการโจมตีครั้งนี้ ข้อมูลลูกค้าไม่ได้รับผลกระทบ แต่ "ซอร์สโค้ดและข้อมูลทางเทคนิค" ถูกขโมยไป น่าเสียดายที่ข้อมูลนี้ทำให้ผู้โจมตีกำหนดเป้าหมายไปที่พนักงาน ได้รับข้อมูลประจำตัวและคีย์ที่ใช้ในการถอดรหัสและเข้าถึงข้อมูลบนบริการจัดเก็บข้อมูลบนคลาวด์

จากที่นี่ ผู้โจมตีสามารถเข้าถึงข้อมูลบัญชี เช่น "ชื่อผู้ใช้ ที่อยู่สำหรับการเรียกเก็บเงิน ที่อยู่อีเมล หมายเลขโทรศัพท์ และที่อยู่ IP ที่ใช้ ลูกค้าเข้าถึงบริการ LastPass" นอกจากนี้ ยังได้รับข้อมูลห้องนิรภัยของลูกค้าซึ่งมี "ชื่อผู้ใช้และรหัสผ่านของเว็บไซต์ที่เข้ารหัส บันทึกที่ปลอดภัย และ ข้อมูลกรอกแบบฟอร์ม"

ดังนั้นคุณอาจถามตัวเองว่าทั้งหมดนี้หมายความว่าอย่างไรกันแน่?

มีข่าวดีและข่าวร้ายอยู่บ้าง สำหรับข่าวดี ข้อมูลที่เก็บเกี่ยวได้รับการเข้ารหัส และต้องใช้รหัสผ่านหลักของผู้ใช้ในการถอดรหัส ข่าวร้ายก็คือหากผู้โจมตีมีเวลา พวกเขาสามารถลองรหัสผ่านได้มากเท่าที่จำเป็นเพื่อถอดรหัสข้อมูล LastPass รับทราบว่านี่เป็นไปได้ แต่ระบุว่ามันจะ "ยากมาก" ตราบใดที่รหัสผ่านนั้นยังเป็น อันที่ซับซ้อน.

LastPass ยังเตือนด้วยว่าการโจมตีแบบฟิชชิ่งอาจเริ่มเป็นเรื่องปกติมากขึ้น ในความพยายามที่จะป้องกันไม่ให้ลูกค้าระวังตัวและดึงรหัสผ่านหลักออกมา เท่าที่สามารถทำได้ในตอนนี้ จริงๆ แล้วเป็นเพียงการพยายามและไม่ตกเป็นเหยื่อของการพยายามฟิชชิ่ง หากดูไม่ปกติหรือน่าสงสัย ให้ค้นคว้าข้อมูล LastPass ต้องใช้รหัสผ่าน 12 ตัวอักษรเป็นอย่างน้อยมาระยะหนึ่งแล้ว แต่การละเมิดเช่นนี้สามารถเกิดขึ้นได้ และเมื่อเกิดขึ้น จะทำให้สิ่งต่าง ๆ เข้าใจได้อย่างแท้จริง

บริษัทพยายามให้ความมั่นใจโดยระบุว่าต้องใช้เวลาหลายล้านปีในการลองเดารหัสผ่านที่ซับซ้อน แน่นอนว่าสิ่งนี้ไม่ควรทำให้คุณสบายใจเนื่องจากมีใครบางคนพร้อมข้อมูลที่เข้ารหัสของคุณ LastPass ได้ทำการเปลี่ยนแปลงโครงสร้างพื้นฐานเพื่อป้องกันการละเมิดในอนาคตและได้ติดต่อลูกค้าธุรกิจที่มีความเสี่ยงสูงพร้อมคำแนะนำ

แหล่งที่มา: LastPass