خرق في LastPass لديه دروس في كلمة المرور لنا جميعًا

يجب أن يدفعنا اختراق مدير كلمات المرور إلى إعادة تقييم ما إذا كان يجب الوثوق بالشركات لتخزين بياناتنا الحساسة في السحابة.

بينما انقطع اتصال الكثير منا بالإنترنت لقضاء بعض الوقت مع أحبائهم خلال العطلات ، فإن LastPass ، مبتكر برنامج أمان شهير لإدارة كلمات المرور الرقمية ، قدّم أكثر الهدايا غير المرغوب فيها. نشر تفاصيل خرق أمني حديث حصل فيه المجرمون الإلكترونيون على نسخ من خزانات كلمات مرور العملاء ، مما قد يعرض معلومات ملايين الأشخاص عبر الإنترنت.

من منظور المتسلل ، هذا هو ما يعادل الفوز بالجائزة الكبرى.

عند استخدام مدير كلمات من كلمة مرور مثل LastPass أو 1Password ، فإنه يخزن قائمة بجميع أسماء المستخدمين وكلمات المرور للمواقع والتطبيقات التي تستخدمها ، بما في ذلك حسابات البنوك والرعاية الصحية والبريد الإلكتروني ووسائل التواصل الاجتماعي. إنه يتتبع هذه القائمة ، المسماة قبو ، في سحابة الإنترنت الخاصة به بحيث يمكنك الوصول بسهولة إلى كلمات المرور الخاصة بك من أي جهاز. قال LastPass إن المتسللين سرقوا نسخًا من قائمة أسماء المستخدمين وكلمات المرور الخاصة بكل عميل من خوادم الشركة.

كان هذا الخرق أحد أسوأ الأشياء التي يمكن أن تحدث لمنتج أمان مصمم للعناية بكلمات المرور الخاصة بك. ولكن بصرف النظر عن الخطوة التالية الواضحة - تغيير جميع كلمات المرور الخاصة بك إذا كنت قد استخدمت LastPass - هناك بعض الدروس المهمة التي يمكننا تعلمها من هذه الكارثة ، بما في ذلك أن منتجات الأمان ليست مضمونة ، خاصةً عندما تخزن بياناتنا الحساسة في غيم.

أولاً ، من المهم فهم ما حدث: قالت الشركة إن المتطفلين تمكنوا من الوصول إلى قاعدة بياناتها السحابية وحصلوا على نسخة من خزانات البيانات لعشرات الملايين من العملاء باستخدام سرقت بيانات الاعتماد والمفاتيح من أحد موظفي LastPass.

حاولت LastPass ، التي نشرت تفاصيل الخرق في منشور مدونة في 22 ديسمبر ، طمأنة مستخدميها بأن معلوماتهم كانت على الأرجح آمنة. قال إن بعض أجزاء خزائن الأشخاص - مثل عناوين الويب للمواقع التي قاموا بتسجيل الدخول إليها - لم يتم تشفيرها ، ولكن تم تشفير البيانات الحساسة ، بما في ذلك أسماء المستخدمين وكلمات المرور. قد يشير هذا إلى أن المتسللين قد يعرفون موقع الويب المصرفي الذي يستخدمه شخص ما ولكن ليس لديهم اسم المستخدم وكلمة المرور المطلوبين لتسجيل الدخول إلى حساب هذا الشخص.

الأهم من ذلك ، كلمات المرور الرئيسية التي تم أيضًا تشفير المستخدمين الذين تم إعدادهم لإلغاء تأمين خزائن LastPass الخاصة بهم. هذا يعني أنه سيتعين على المتسللين بعد ذلك كسر كلمات المرور الرئيسية المشفرة للحصول على بقية كلمات المرور في كل قبو ، وهو الأمر الذي يصعب القيام به طالما أن الأشخاص يستخدمون كلمة مرور رئيسية فريدة ومعقدة.

رفض كريم طوبا ، الرئيس التنفيذي لشركة LastPass ، إجراء مقابلة معه ، لكنه كتب في بيان عبر البريد الإلكتروني أن الحادث أظهر قوة نظام شركة الهندسة المعمارية ، والذي قال إنه يحافظ على بيانات الخزينة الحساسة مشفرة وآمنة. وقال أيضًا إنه من مسؤولية المستخدمين "ممارسة نظافة كلمات المرور بشكل جيد".

لم يتفق العديد من خبراء الأمن مع تفاؤل السيد توبا وقالوا إنه يجب على كل مستخدم لـ LastPass يغير كل شئ. كلمات المرور الخاصة به.

قال سنان إرين ، المسؤول التنفيذي في Barracuda ، شركة أمنية. "أعتبر أن كل كلمات المرور المُدارة هذه تم اختراقها."

قال كيسي إليس ، كبير مسؤولي التكنولوجيا في شركة الأمان Bugcrowd ، إنه كان من المهم أن يتمكن المتسللون من الوصول إلى قوائم عناوين مواقع الويب التي استخدمها الناس.

"لنفترض أنني قادم بعدك" ، قال إليس. "يمكنني عرض جميع مواقع الويب التي سجلت معلومات عنها واستخدامها للتخطيط لهجوم. كل مستخدم على LastPass لديه هذه البيانات الآن في يد الخصم."

إليك الدروس التي يمكن أن نتعلمها جميعًا من هذا الانتهاك للبقاء آمنًا على الإنترنت. الوقاية أفضل من العلاج.

يذكرنا خطأ LastPass بأنه من الأسهل وضعه في المكان المناسب ل ...