كشفت LastPass ، الشركة التي تقف وراء برنامج إدارة كلمات المرور التي تحمل اسمًا ، أنها وقعت ضحية لخرق أمني قبل أسبوعين. على الرغم من أن الشركة سريعة في الإشارة إلى أن كلمات المرور المخزنة من قبل المستخدمين لم يتم الكشف عنها ، إلا أن الحادث لا يزال مهمًا للغاية.
تمكن المتسللون من اختراق أمان حساب مطور واستغلوا ذلك لسرقة “كود المصدر وبعض المعلومات الفنية الخاصة بـ LastPass”. في حين أن LastPass تبذل جهدًا للتأكيد على أنها لم تر “أي دليل على أن هذا الحادث ينطوي على أي وصول إلى بيانات العملاء أو أقبية كلمة المرور المشفرة” ، إلا أنها حادثة ستضعف ثقة المستخدم.
يقول طوبا بالتفصيل عما حدث:
منذ أسبوعين ، اكتشفنا نشاطًا غير عادي في أجزاء من بيئة تطوير LastPass. بعد الشروع في تحقيق فوري ، لم نر أي دليل على أن هذا الحادث ينطوي على أي وصول إلى بيانات العملاء أو أقبية كلمات المرور المشفرة.
لقد قررنا أن طرفًا غير مصرح له حصل على إمكانية الوصول إلى أجزاء من بيئة تطوير LastPass من خلال حساب مطور واحد مخترق وأخذ أجزاء من كود المصدر وبعض المعلومات الفنية الخاصة بـ LastPass. منتجاتنا وخدماتنا تعمل بشكل طبيعي.
ردًا على الحادث ، قمنا بنشر تدابير احتواء وتخفيف ، وقمنا بإشراك شركة رائدة في مجال الأمن السيبراني والتحليل الجنائي. أثناء التحقيق الذي أجريناه ، حققنا حالة من الاحتواء ، وقمنا بتنفيذ تدابير أمنية معززة إضافية ، ولا نرى أي دليل آخر على نشاط غير مصرح به.
نشر LastPass أيضًا أسئلة شائعة قصيرة لمحاولة الرد على مخاوف المستخدمين:
- هل تم اختراق كلمة المرور الرئيسية الخاصة بي أو كلمة المرور الرئيسية للمستخدمين؟
لا ، هذا الحادث لم يؤثر على كلمة مرورك الرئيسية. نحن لا نخزن أو نمتلك معرفة بكلمة مرورك الرئيسية. نحن نستخدم بنية صناعية ذات معرفة صفرية قياسية تضمن أن LastPass لا يمكنها أبدًا معرفة كلمة المرور الرئيسية لعملائنا أو الوصول إليها. يمكنك أن تقرأ عن التطبيق الفني لـ Zero Knowledge هنا.
- هل تعرضت أي بيانات داخل قبو أو خزائن المستخدمين للاختراق؟
لا ، لقد حدثت هذه الحادثة في بيئتنا التنموية. لم يظهر تحقيقنا أي دليل على أي وصول غير مصرح به إلى بيانات الخزنة المشفرة. يضمن نموذج المعرفة الصفرية لدينا أن العميل فقط لديه حق الوصول لفك تشفير بيانات المخزن.
- هل تم اختراق أي من معلوماتي الشخصية أو المعلومات الشخصية لمستخدمي؟
لا ، لم يظهر التحقيق الذي أجريناه أي دليل على أي وصول غير مصرح به إلى بيانات العملاء في بيئة الإنتاج لدينا.
- ماذا علي أن أفعل لحماية نفسي وبيانات المخزن الخاص بي؟
في الوقت الحالي ، لا نوصي بأي إجراء نيابة عن مستخدمينا أو مسؤولينا. كما هو الحال دائمًا ، نوصيك باتباع أفضل ممارساتنا حول إعداد وتهيئة LastPass والتي يمكن العثور عليها هنا.
- كيف يمكنني الحصول على مزيد من المعلومات؟
سنواصل تحديث عملائنا بالشفافية التي يستحقونها.
يقول LastPass أنه “يقيّم تقنيات التخفيف الإضافية لتقوية بيئتنا”.