لقد واجهت شركة LastPass موقفًا مؤسفًا إلى حد ما. فقد تلقى بعض المستخدمين تنبيهات تفيد بأن أفرادًا غير مصرح لهم قاموا بتسجيل الدخول إلى حساباتهم على LastPass باستخدام كلمة المرور الرئيسية الخاصة بهم. وتبين أن هذه التنبيهات قد تم إرسالها عن طريق الخطأ، وفقًا لبيان من الشركة.
لقد تناولنا أولاً تنبيهات LastPass هذه بالأمس، وقالت LastPass إنها على الأرجح عبارة عن تسريب من جهة خارجية تسبب في الوصول غير المصرح به. ومع ذلك، بعد مزيد من التحقيق، وجدت الشركة أن التحذيرات أُرسلت إلى المستخدمين عن طريق الخطأ.
لقد تلقينا رسالة بريد إلكتروني من LastPass تشرح الموقف. وقد شرح دان دي ميشيل، نائب رئيس إدارة المنتجات في LastPass، ما حدث:
كما ذكرنا سابقًا، فإن LastPass على علم بالتقارير الأخيرة التي تفيد بأن المستخدمين تلقوا رسائل بريد إلكتروني تنبههم إلى محاولات تسجيل الدخول المحظورة، وقد قامت بالتحقيق فيها.
لقد عملنا بسرعة للتحقيق في هذا النشاط وفي هذا الوقت ليس لدينا أي مؤشر على أن أي حسابات LastPass قد تم اختراقها من قبل جهة خارجية غير مصرح لها نتيجة لهذا الحشو لبيانات الاعتماد، كما لم نجد أي مؤشر على أن بيانات اعتماد LastPass الخاصة بالمستخدم قد تم حصادها بواسطة برامج ضارة أو ملحقات متصفح مارقة أو حملات تصيد.
ومع ذلك، ومن باب الحيطة والحذر، واصلنا التحقيق في محاولة لتحديد سبب إرسال رسائل البريد الإلكتروني التنبيهية الأمنية الآلية من أنظمتنا.
وقد توصل تحقيقنا منذ ذلك الحين إلى أن بعض هذه التنبيهات الأمنية، التي تم إرسالها إلى مجموعة فرعية محدودة من مستخدمي LastPass، ربما تم تشغيلها عن طريق الخطأ. ونتيجة لذلك، قمنا بتعديل أنظمة التنبيهات الأمنية الخاصة بنا وتم حل هذه المشكلة منذ ذلك الحين.
تم إطلاق هذه التنبيهات بسبب الجهود المستمرة التي تبذلها شركة LastPass لحماية عملائها من الجهات الخبيثة ومحاولات إدخال بيانات اعتماد مزيفة. ومن المهم أيضًا التأكيد على أن نموذج الأمان الذي تتبناه شركة LastPass يعني أن شركة LastPass لا تخزن أو تتعرف على أو تتمكن من الوصول إلى كلمة المرور الرئيسية للمستخدمين في أي وقت.
سنواصل مراقبة أي نشاط غير عادي أو ضار بشكل منتظم وسنستمر، حسب الضرورة، في اتخاذ الخطوات المصممة لضمان حماية وتأمين LastPass ومستخدميه وبياناتهم.
إنه خطأ مؤسف، ولكن على الأقل يمكن لمستخدمي LastPass أن يطمئنوا إلى أن حساباتهم آمنة وأن خطأ بسيطًا تسبب في تلقيهم هذا الخطأ. ومع ذلك، قد يكون من الجيد إعداد مصادقة ثنائية العوامل فقط لضمان الأمان.