منوعات تقنية

كان للقراصنة إمكانية الوصول إلى خزانات كلمات مرور مستخدمي LastPass

موقع شبرون للتقنية والأخبار- متابعات تقنية:

صورة للمقال بعنوان Yikes!  كان للقراصنة إمكانية الوصول إلى مستخدمي LastPass & # 39 ؛  خزانات كلمة المرور

صورة: ليون نيل (صور جيتي)

أ الاختراق الرئيسي يبدو أن LastPass الذي يؤثر على عملاق إدارة كلمات المرور أسوأ بكثير مما كان يعتقد في البداية. في إعلان عن التحديث قبل يومين من عيد الميلاد ، اعترف كريم طوبا ، الرئيس التنفيذي لشركة LastPass ، أن المهاجمين تمكنوا من نسخ نسخة احتياطية من بيانات خزينة العملاء بنجاح. مع وجود هذه البيانات في متناول اليد ، يمكن للمهاجمين الوصول إلى المجموعة الكاملة للمستخدمين من كلمات المرور والبيانات الأخرى المخزنة مع LastPass إذا تمكنوا من إيجاد طريقة لتخمين كلمة المرور الرئيسية للمستخدم.

في محاولة لمنع حدوث ارتفاع فوري في النوبات القلبية ، حذر توبا من أنه سيكون من “الصعب للغاية” فرض تخمين كلمات المرور الرئيسية للعملاء الذين يستخدمون الإعدادات الافتراضية للشركة وأفضل الممارسات. بالنسبة لهؤلاء المستخدمين ، قد يستغرق المهاجمون “ملايين السنين” لكسر تلك الرموز باستخدام “تقنية تكسير كلمات المرور المتاحة بشكل عام” ، وفقًا لما ذكره الرئيس التنفيذي. يقول LastPass إنه لا ينبغي أن يكون لديه حق الوصول إلى كلمات المرور الرئيسية للمستخدمين.

لا ينطبق هذا الطمأنينة المريحة بالضرورة على المستخدمين الذين لديهم كلمات مرور رئيسية أضعف. في هذه الحالات ، نصح LastPass المستخدمين بالدخول وتغيير كلمات المرور لجميع مواقع الويب التي قاموا بتخزينها يمكن أن يعني يومًا شاقًا وشاقًا ينتظر إعادة تعيين معلومات الحساب بشكل محموم. وعلى الرغم من أن كلمات المرور الرئيسية القوية قد تكون صعبة التخمين ، إلا أن أقوى كلمات المرور قد تكون معرضة للخطر إذا تم استخدامها في موقع آخر تم اختراقه سابقًا. لا يوجد نقص من كلمات المرور المخترقة سابقًا الموجودة في أسواق الويب المظلمة. قد يجد عملاء LastPass المتأثرين أنفسهم أيضًا غارقين في محاولات التصيد المزعجة التي تحاول خداعهم لتسليم مفاتيحهم للمملكة عن غير قصد.

بالإضافة إلى كلمات المرور ، قال توبا إن بيانات الخزينة المسروقة تتضمن “حقولًا حساسة مشفرة بالكامل مثل أسماء مستخدمي مواقع الويب وكلمات المرور والملاحظات الآمنة والبيانات المملوءة بالنماذج” ، إلى جانب عناوين URL غير المشفرة. الهجمات المتطورة ، الحافة ملاحظات، يمكن استخدام المعلومات المنقولة عبر المواقع التي يزورها المستخدم لصياغة حملات تصيد أكثر إقناعًا.

لم يرد LastPass على الفور على طلب Gizmodo للتعليق.

بالنسبة إلى الشركة التي تدور خدمتها الأساسية حول جمع كلمات المرور وحمايتها في مكان آمن واحد ، فإن هذا يعد سيئًا بقدر ما يحصل. LastPass أولاً كشف الهجمات الأخيرة في منشور مدونة أواخر الشهر الماضي. في ذلك الوقت ، قالت الشركة بشكل خفي إن المهاجم كان قادرًا على الوصول إلى “عناصر معينة” من “معلومات العملاء” ، دون تقديم مزيد من التفاصيل. واستطردت الشركة قائلة إنه لم تتأثر كلمات مرور العملاء بالحادث من الناحية الفنية صحيح ، ولكن كما نعلم الآن ، لا يروي سوى جزء من القصة.

مما يجعل الأمور أسوأ ، يبدو أن هذا الاختراق الأخير كان أصبح ممكنا بحادث سابق وقع قبل ستة أشهر فقط. في هذه الحالة ، تقول الشركة إن المهاجم يبدو أنه سرق “كود المصدر والمعلومات التقنية” من بيئة التطوير الخاصة به واستخدمها لاستهداف موظف للحصول على أوراق اعتماده.

انظر ، في عالم رقمي يتطلب من المستخدمين الاحتفاظ بالعشرات من العشرات من بيانات الاعتماد ، أصبح مديرو كلمات المرور ضرورة أمنية بشكل متزايد. في الوقت نفسه ، فإن هذا التركيز العالي للمعلومات الحساسة يجعل مواقع إدارة كلمات المرور بعضًا من أكثر الأطعمة التي يسيل لها اللعاب أهداف للجهات السيئة. LastPass كان ينبغي أن نرى هذا قادمًا وكان ينبغي الكشف عن هذه التفاصيل للعملاء في وقت أقرب إذا كانت النتائج متاحة.

مقالات ذات صلة

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى