قال LastPass ، أحد مديري كلمات المرور الرائدين ، إن المتسللين حصلوا على ثروة من المعلومات الشخصية الخاصة بعملائها بالإضافة إلى كلمات المرور المشفرة والمشفرة وغيرها من البيانات المخزنة في خزائن العملاء.
يمثل الكشف ، الذي تم نشره يوم الخميس ، تحديثًا مثيرًا لخرق LastPass تم الكشف عنه في أغسطس. في ذلك الوقت ، قالت الشركة إن أحد الفاعلين المهددين حصل على وصول غير مصرح به من خلال حساب مطور واحد مخترق إلى أجزاء من بيئة تطوير مدير كلمات المرور و “أخذ أجزاء من كود المصدر وبعض المعلومات التقنية الخاصة بـ LastPass”. قالت الشركة في ذلك الوقت إن كلمات المرور الرئيسية للعملاء وكلمات المرور المشفرة والمعلومات الشخصية والبيانات الأخرى المخزنة في حسابات العملاء لم تتأثر.
البيانات الحساسة ، سواء كانت مشفرة أو غير منسوخة
في تحديث يوم الخميس ، قالت الشركة إن المتسللين تمكنوا من الوصول إلى المعلومات الشخصية والبيانات الوصفية ذات الصلة ، بما في ذلك أسماء الشركات وأسماء المستخدمين النهائيين وعناوين الفواتير وعناوين البريد الإلكتروني وأرقام الهواتف وعناوين IP التي يستخدمها العملاء للوصول إلى خدمات LastPass. قام المتسللون أيضًا بنسخ نسخة احتياطية من بيانات قبو العميل التي تضمنت بيانات غير مشفرة مثل عناوين URL لمواقع الويب وحقول البيانات المشفرة مثل أسماء مستخدمي مواقع الويب وكلمات المرور والملاحظات الآمنة والبيانات المملوءة بالنماذج.
كتب كريم طوبا الرئيس التنفيذي لشركة LastPass ، مشيرًا إلى نظام التشفير المتقدم وقليلًا: “تظل هذه الحقول المشفرة مؤمنة بتشفير 256 بت AES ولا يمكن فك تشفيرها إلا باستخدام مفتاح تشفير فريد مشتق من كلمة المرور الرئيسية لكل مستخدم باستخدام بنية المعرفة الصفرية الخاصة بنا” ، مشيرًا إلى نظام التشفير المتقدم وقليلًا معدل يعتبر قويًا. تشير المعرفة الصفرية إلى أنظمة التخزين التي يستحيل على مزود الخدمة فك تشفيرها. تابع الرئيس التنفيذي:
للتذكير ، كلمة المرور الرئيسية غير معروفة لـ LastPass ولا يتم تخزينها أو صيانتها بواسطة LastPass. يتم تنفيذ تشفير البيانات وفك تشفيرها فقط على عميل LastPass المحلي. لمزيد من المعلومات حول هندسة Zero Knowledge وخوارزميات التشفير ، يرجى الاطلاع هنا.
ذكر التحديث أنه في تحقيق الشركة حتى الآن ، لا يوجد ما يشير إلى أنه تم الوصول إلى بيانات بطاقة الائتمان غير المشفرة. لا يقوم LastPass بتخزين بيانات بطاقة الائتمان بالكامل ، ويتم الاحتفاظ ببيانات بطاقة الائتمان التي يخزنها في بيئة تخزين سحابية مختلفة عن تلك التي وصل إليها ممثل التهديد.
يبدو أن التطفل الذي تم الكشف عنه في أغسطس والذي سمح للمتسللين بسرقة شفرة مصدر LastPass والمعلومات الفنية الخاصة بالملكية مرتبط بخرق منفصل لـ Twilio ، وهو مزود لخدمات المصادقة الثنائية والاتصال ومقره سان فرانسيسكو. سرق ممثل التهديد في هذا الانتهاك بيانات من 163 من عملاء Twilio. نفس المخادعين الذين ضربوا Twilio قاموا أيضًا باختراق ما لا يقل عن 136 شركة أخرى ، بما في ذلك LastPass.
قال تحديث يوم الخميس إن الفاعل المهدد يمكنه استخدام كود المصدر والمعلومات التقنية المسروقة من LastPass لاختراق موظف LastPass منفصل والحصول على بيانات اعتماد ومفاتيح الأمان للوصول إلى وحدات التخزين وفك تشفيرها داخل خدمة التخزين السحابية للشركة.
“حتى الآن ، قررنا أنه بمجرد الحصول على مفتاح الوصول إلى التخزين السحابي ومفاتيح فك تشفير حاوية التخزين المزدوجة ، قام ممثل التهديد بنسخ المعلومات من النسخة الاحتياطية التي تحتوي على معلومات حساب العميل الأساسية والبيانات الوصفية ذات الصلة ، بما في ذلك أسماء الشركات وأسماء المستخدمين النهائيين والفواتير وقال توبا: “العناوين وعناوين البريد الإلكتروني وأرقام الهواتف وعناوين IP التي كان العملاء يصلون من خلالها إلى خدمة LastPass”. تمكن ممثل التهديد أيضًا من نسخ نسخة احتياطية من بيانات قبو العميل من حاوية التخزين المشفرة ، والتي يتم تخزينها في تنسيق ثنائي خاص يحتوي على بيانات غير مشفرة ، مثل عناوين URL لمواقع الويب ، بالإضافة إلى الحقول الحساسة المشفرة بالكامل ، مثل موقع الويب أسماء المستخدمين وكلمات المرور والملاحظات الآمنة والبيانات المملوءة بالنماذج “.
لم يرد ممثلو LastPass على بريد إلكتروني يسأل عن عدد العملاء الذين تم نسخ بياناتهم.
عزز أمنك الآن
أدرج تحديث يوم الخميس أيضًا العديد من العلاجات التي اتخذتها LastPass لتعزيز أمانها بعد الاختراق. تتضمن الخطوات إيقاف تشغيل التطوير المخترق وإعادة بنائه من البداية ، والاحتفاظ بخدمة الكشف عن نقطة النهاية المُدارة والاستجابة لها ، وتناوب جميع بيانات الاعتماد والشهادات ذات الصلة التي ربما تكون قد تأثرت.
نظرًا لحساسية البيانات المخزنة بواسطة LastPass ، فمن المثير للقلق أنه تم الحصول على مثل هذا النطاق الواسع من البيانات الشخصية. على الرغم من عدم وجود دليل حتى الآن على أنه تم الحصول على كلمات مرور رئيسية ، فلا توجد طريقة لاستبعاد ذلك ، لا سيما بالنظر إلى مدى منهجية وحيلة ممثل التهديد.
يجب على عملاء LastPass التأكد من قيامهم بتغيير كلمة المرور الرئيسية الخاصة بهم واستخدام إعدادات LastPass الافتراضية. تعمل هذه الإعدادات على تجزئة كلمات المرور المخزنة باستخدام 100100 تكرار لوظيفة اشتقاق المفتاح المستند إلى كلمة المرور (PBKDF2) ، وهي خوارزمية تجزئة تجعل من غير الممكن اختراق كلمات المرور الرئيسية الطويلة والفريدة والمُنشأة عشوائيًا. يمكن لعملاء LastPass التحقق من العدد الحالي لتكرارات PBKDF2 لحساباتهم هنا.
يجب أن يكون عملاء LastPass أيضًا في حالة تأهب إضافي لرسائل البريد الإلكتروني المخادعة والمكالمات الهاتفية المزعومة من LastPass أو الخدمات الأخرى التي تبحث عن بيانات حساسة وغيرها من عمليات الاحتيال التي تستغل بياناتهم الشخصية المخترقة. لدى الشركة أيضًا نصائح محددة لعملاء الأعمال الذين نفذوا خدمات LastPass الموحدة لتسجيل الدخول.
اكتشاف المزيد من عرب نيوز للتقنية
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.