امروز:29 آذر 1403

هک Lastpass بدتر از آن چیزی بود که شرکت ابتدا گزارش داد

پس از هک شدن برای دومین بار در چند سال اخیر در ماه اوت، برنامه مدیریت رمز عبور Lastpass در روز پنجشنبه اعلام کرد که آخرین نفوذ بسیار آسیب‌رسان‌تر از آنچه در ابتدا گزارش شده بود، بوده است و مهاجمان در برخی موارد از مخزن رمز عبور کاربران خارج شده‌اند. این بدان معناست که سارقان کل مجموعه اطلاعات شخصی رمزگذاری شده افراد را در اختیار دارند، اگر روش فوری برای باز کردن قفل آنها نباشد.

کریم توبا، مدیر عامل LastPass، توضیح داد: «در طول حادثه آگوست 2022 به هیچ داده مشتری دسترسی پیدا نشد. با این حال، برخی از کد منبع برنامه برداشته شد و سپس از یک کارمند Lastpass استفاده شد تا اعتبار دسترسی خود را رها کند، سپس از آن کلیدها برای رمزگشایی و کپی کردن “برخی حجم های ذخیره سازی در سرویس ذخیره سازی مبتنی بر ابر” استفاده شد.

در میان داده های رمزگذاری شده به دست آمده توسط هکرها، اطلاعات اولیه حساب مشتری مانند نام شرکت، صورتحساب، ایمیل و آدرس IP وجود دارد. و شماره تلفن، طوبی ادامه داد. توبا گفت: «این فیلدهای رمزگذاری شده با رمزگذاری 256 بیتی AES ایمن باقی می‌مانند و تنها با یک کلید رمزگذاری منحصربه‌فرد که از رمز عبور اصلی هر کاربر و با استفاده از معماری دانش صفر ما استخراج می‌شود، قابل رمزگشایی هستند. “به عنوان یادآوری، رمز عبور اصلی هرگز برای LastPass شناخته شده نیست و توسط LastPass ذخیره یا نگهداری نمی شود.”

با این وجود، آیا می خواهید حرف شرکت را قبول کنید؟ من نیستم. دردسر خواهد بود، اما تعویض همه رمزهای عبور موجود در سایت شما با رمزهای جدید – و همچنین انتخاب یک رمز عبور اصلی جدید – ممکن است در نهایت برای بازیابی امنیت آنلاین شما ضروری باشد. یا فقط می‌توانید به Lastpass بگویید که برود و به 1Password یا Bitwarden تبدیل شود.

اشتراک گذاری