لا يزال LastPass يتعامل مع خرق البيانات في العام الماضي، مما أدى إلى كشف المعلومات الشخصية وكلمات المرور لبعض العملاء. ولكن المعلومات الجديدة حول هذه القصة تذكرنا لماذا يجب على كل مستخدم كمبيوتر وكل شركة أن تأخذ الأمن على محمل الجد.
في 28 فبراير، LastPass تم شرحه أخيرا كيف حدث خرق البيانات الخاص بها. استهدف أحد القراصنة في البداية “برنامج وسائط تابع لجهة خارجية ضعيف” على جهاز كمبيوتر شخصي في المنزل لمهندس DevOps، حيث قام بتثبيت برنامج تسجيل مفاتيح لجمع كلمة المرور الرئيسية للموظف. ويصادف أن يكون DevOp هذا واحدًا من أربعة موظفين في LastPass يمكنهم الوصول إلى خزانة الشركة، لذا فمن الآمن أن نفترض أن هذا كان اختراقًا مستهدفًا.
نعم، كان الموظف المستهدف في هذا الاختراق يمتلك جهاز كمبيوتر محمول خاص بالشركة (تم استبداله منذ ذلك الحين). وتشير بعض التقارير إلى أن الموظف استخدم جهاز الكمبيوتر الشخصي الخاص به للوصول إلى موارد العمل، على الرغم من أن LastPass لم يؤكد ذلك.
إليكم الأمر المثير للاهتمام؛ كان برنامج الوسائط التابع لجهة خارجية المعرض للخطر والذي تم استغلاله في هذه الاختراقات هو Plex. جاءت الأخبار الأولية عن تورط Plex من خلال تسريبات (عبر آرس تكنيكا)، ولكن تم تأكيد ذلك لاحقًا بواسطة Plex في الأول من مارس.
عندما صدر تقرير Ars Technica، قالت Plex إنها لم تتلق أي اتصال من LastPass. لكن الأمور تغيرت – أخبرت LastPass Plex أن الثغرة الأمنية المستغلة كانت CVE-2020-5741وتقول شركة Plex لموقع Review Geek أن هذه الثغرة الأمنية تم الكشف عنها وإصلاحها في مايو 2020، أي قبل عامين ونصف العام على الأقل من خرق LastPass.
من الواضح أن موظف LastPass المستهدف أهمل تحديث خادم Plex الخاص به لمدة عامين على الأقل. كان هناك ما يقرب من 75 تحديثًا لـ Plex منذ تصحيح ثغرة CVE-2020-5741. وهذا فشل خطير في الأمن الشخصي والمؤسسي؛ وكما تشير Plex، يتم توفير إشعارات التحديث “عبر واجهة المستخدم الإدارية”، والتحديثات التلقائية شائعة جدًا.
ولكن من ناحية ما، فإن هذا الفشل مفهوم إلى حد ما. فبعض تحديثات Plex تحتاج إلى أن تتم يدويًا، وكما يعلم أي مستخدم Plex، فإن هذه التحديثات قد تسبب مشكلات أو تجبرك على إعادة بعض بيانات التعريف الخاصة بمكتبة الوسائط الخاصة بك. وربما فشل موظف LastPass المستهدف في هذه الاختراق في إدراك أن التحديث يجب أن يتم تثبيته يدويًا (رغم وجود احتمال أنه تجنب التحديث عمدًا).
خذ هذا كدرس؛ يمكن لأي جزء من الشبكة أن يعرض أمنك أو حتى أمن الآخرين للخطر. يجب عليك تحديث المنتجات باستمرار، وإذا تعرض جهاز في منزلك لثغرة أمنية غير مُرقعة، فيجب عليك فصله عن الشبكة. (كما يجب على Plex تحسين عملية التحديث. أعرف هذا من تجربتي).
لسوء الحظ، لا تعرف شركات التكنولوجيا كيفية القيادة بالقدوة. تتحمل LastPass المسؤولية هنا، وقد قامت بذلك السجل الحافل لإثبات عدم قدرتها على التعامل مع الأمان بجدية. لقد تواصلنا مع LastPass للحصول على تعليق ونحن في انتظار الرد.
مصدر: لاست باس، بليكس