كانت LastPass في السابق واحدة من أفضل برامج إدارة كلمات المرور، ولكن في الآونة الأخيرة، تضررت سمعتها بسبب العديد من خروقات الأمان. والآن أكدت الشركة أن الاختراق الأخير كان سيئًا للغاية.
تعرضت شركة LastPass لاختراق أمني في شهر أغسطس/آب الماضي، عندما تمكن أحد القراصنة من الوصول إلى بيئات التطوير وتمكن من سرقة الكود المصدري وغيره من المعلومات الخاصة. وفي وقت لاحق من شهر ديسمبر/كانون الأول، أكدت شركة LastPass أن أحد القراصنة تمكن من استخدام تلك البيانات “للوصول إلى عناصر معينة من معلومات عملائنا”. ولم توضح الشركة ما تعنيه عبارة “عناصر معينة”، حتى الآن.
كشفت شركة LastPass للتو عن النطاق الكامل للهجوم، بعد “تحقيق مستمر”. تمكن المخترق من الوصول إلى بيئة تخزين سحابية باستخدام بيانات من خرق الأمان في أغسطس، والتي تضمنت “معلومات أساسية عن حسابات العملاء والبيانات الوصفية ذات الصلة بما في ذلك أسماء الشركات وأسماء المستخدمين النهائيين وعناوين الفواتير وعناوين البريد الإلكتروني وأرقام الهواتف وعناوين IP التي يستخدمها العملاء للوصول إلى خدمة LastPass”. على ما يبدو لم يتم الوصول إلى معلومات بطاقات الائتمان.
والأسوأ من ذلك أن المخترق نجح في نسخ بيانات مخزنة من LastPass، على الرغم من أن الشركة أطلقت عليها اسم “نسخة احتياطية”، لذا فليس من الواضح كم عمر البيانات. وتزعم الشركة أن كلمات المرور الفعلية لا تزال آمنة، لأنها تستخدم تشفير AES 256 بت يعتمد على كلمة المرور الرئيسية للشخص. ومع ذلك، إذا كان من الممكن الحصول على كلمة المرور الرئيسية لشخص ما (على سبيل المثال، من خلال رسالة بريد إلكتروني احتيالية تحاكي صفحة تسجيل الدخول إلى LastPass)، فقد يكون من الممكن إلغاء قفل البيانات المشفرة ورؤية جميع كلمات مرور شخص ما.
حتى بدون كلمة المرور الرئيسية، قد تكون البيانات المسربة ضارة لبعض مستخدمي LastPass. يمكن استخدام الأسماء وعناوين الفواتير في المزيد من الهجمات، ولم يتم تشفير عناوين مواقع الويب لكلمات المرور المخزنة. سيتمكن أي شخص لديه البيانات المسربة من رؤية جميع مواقع الويب المرتبطة بكلمات المرور، ثم استخدامها لمزيد من التصيد الاحتيالي المستهدف. على سبيل المثال، إذا كان لدى شخص ما كلمة مرور لموقع بنك أوف أميركا على الويب، فقد يكون لديه حساب هناك، وسيكون هدفًا ممتازًا لرسائل البريد الإلكتروني الاحتيالية التي تبدو وكأنها تنبيهات حساب من البنك.
هذا هو أسوأ حادث أمني يمكن تخيله بالنسبة لبرنامج إدارة كلمات المرور مثل LastPass — حيث تم نسخ كل البيانات الموجودة في حوزة الشركة تقريبًا. لقد أنقذ التشفير من جانب العميل كل كلمة مرور من السرقة، ولكن كما ذكرنا سابقًا، كل ما يتطلبه الأمر هو كلمة مرور رئيسية ضعيفة أو هجوم تصيد احتيالي لفتح تلك البيانات لحساب ما. هذا، إلى جانب سجل ضعيف في الاستجابة لمشاكل الأمن إن الاختراقات العديدة الأخرى التي حدثت مؤخرًا، هي مبرر جيد للتوقف عن استخدام LastPass.
إذا كنت تستخدم LastPass، فيجب عليك تغيير كلمة المرور الرئيسية في أقرب وقت ممكن، والانتباه إلى رسائل البريد الإلكتروني المشبوهة التي تصلك خلال الأسابيع والأشهر القادمة. قد ترغب أيضًا في التفكير في تغيير كل كلمة مرور مخزنة في LastPass — ربما يمتلك المتسللون الآن هذه البيانات أيضًا، لكنهم لا يستطيعون فتحها الآن.
مصدر: لاست باس