خدمة إدارة كلمات المرور LastPass كشفت يوم الخميس عن مزيد من التفاصيل حول خرق نوفمبر، مما يؤكد أن معلومات العميل الأساسية قد تم كشفها ولكن ليس البيانات المهمة مثل كلمات المرور أو تفاصيل بطاقة الائتمان.
نتج الاختراق في نهاية نوفمبر عن اختراق أقدم في أغسطس ، عندما اقتحم المهاجمون إحدى قواعد الشفرة الخلفية لـ LastPass. لقد سرقوا بيانات الشركة التي تم استخدامها بعد ذلك مؤخرًا لاقتحام قاعدة بيانات LastPass أخرى لالتقاط بيانات العملاء غير المشفرة مثل الأسماء والبريد الإلكتروني وعناوين الفواتير وأرقام الهواتف وعناوين IP. لم يتم الكشف عن بيانات بطاقة ائتمان غير مشفرة.
سُرقت أيضًا بيانات أكثر حساسية بما في ذلك أسماء المستخدمين وكلمات المرور ، ولكن نظرًا لأن ذلك يتم تشفيره افتراضيًا خلف كلمة مرور رئيسية لم يتم تخزينها على خوادم LastPass ، فمن غير المرجح أن يتم كشفها.
لا يزال بإمكان الجهات السيئة الأخرى الوصول إلى هذه البيانات الحساسة إذا قام المستخدمون بتسهيل تخمين كلمات المرور الرئيسية ، مثل ما إذا كانت تستخدم لتسجيل الدخول إلى مواقع أخرى ، أو إذا وقعوا فريسة للتصيد الاحتيالي أو مخططات الهندسة الاجتماعية. إذا قاموا بإعداد كلمة المرور الرئيسية الخاصة بهم وفقًا لأفضل ممارسات LastPass ، والتي كرروها في منشور مدونة يكشف عن الخرق ، فسيستغرق تخمين “ملايين السنين”.
بينما أصبحت الاختراقات أكثر شيوعًا ، فقد عرض هذا الحدث نقطتين مهمتين حول الجرائم الإلكترونية الحديثة. أولاً ، قد يؤدي الاختراق الأولي الذي لا يؤثر على المستخدمين العاديين إلى حدوث اختراق آخر ، وثانيًا ، أن قرار LastPass بعدم تخزين كلمات المرور الرئيسية للمستخدم يعني أن معلومات الشركة المسروقة لا يمكنها اختراق بيانات المستخدم المشفرة – على الأقل حتى الآن كما نعرف.
