LastPass می گوید هکرها داده های مشتری و رمزهای عبور رمزگذاری شده را به دلیل نقض در ماه آگوست به سرقت برده اند.

برای کسانی که از راهنمایی های رمز عبور LastPass پیروی می کنند، این شرکت گفت: “میلیون ها سال طول می کشد تا رمز عبور اصلی خود را با استفاده از فناوری شکستن رمز عبور معمولی در دسترس حدس بزنید.”

© 2022 بلومبرگ LP


پیوندهای وابسته ممکن است به طور خودکار ایجاد شوند – برای جزئیات بیشتر به بیانیه اخلاقی ما مراجعه کنید.



منبع

LastPass، یک سرویس مدیریت رمز عبور، روز پنجشنبه اعلام کرد که هکرها کپی های رمزگذاری شده رمز عبور مشتریان و سایر داده های حساس مانند آدرس صورتحساب، شماره تلفن و آدرس IP را به سرقت برده اند. این اعلامیه آخرین به روز رسانی از یک نقض است که در ماه اوت رخ داد. در آن زمان، این شرکت اعلام کرد که هیچ مدرکی دال بر دسترسی هکرها به داده‌های مشتری یا انبارهای رمز عبور رمزگذاری شده ندیده است.

این شرکت گفت که شرکت امنیت سایبری Mandiant را برای بررسی این نقض استخدام کرده است. همچنین گفت که در حال بازسازی کل محیط توسعه خود از ابتدا است، که نشان می دهد هکرها به طور کامل سیستم های حساس شرکت را تشکیل داده اند.

مدیریت رمز عبور راهی برای مشتریان برای ذخیره نام کاربری و رمز عبور در یک مکان است و می توان با استفاده از رمز عبور اصلی که مشتری ایجاد می کند به آنها دسترسی پیدا کرد. در بیانیه خود گفته است که رمز عبور اصلی برای LastPass شناخته شده نیست و توسط شرکت ذخیره یا نگهداری می شود.

این شرکت گفت که سایر داده های رمزگذاری شده را فقط می توان «با یک کلید رمزگذاری منحصر به فرد مشتق شده از رمز عبور اصلی هر کاربر» رمزگشایی کرد.

LastPass گفت که تحقیقاتش ادامه دارد و مجری قانون و “مقامات نظارتی مربوطه” را مطلع کرده است.

یکی از نمایندگان LastPass به پیام هایی که به دنبال نظر بودند پاسخ نداد.

این شرکت در بیانیه‌ای اعلام کرد: «ممکن است عامل تهدید برای حدس زدن رمز عبور اصلی شما و رمزگشایی کپی‌های داده‌های مخفی که گرفته است، از زور استفاده کند. «به دلیل روش‌های هش و رمزگذاری که برای محافظت از مشتریان خود استفاده می‌کنیم، تلاش برای حدس زدن بی‌رحمانه گذرواژه‌های اصلی برای آن دسته از مشتریانی که بهترین شیوه‌های رمز عبور ما را دنبال می‌کنند، بسیار دشوار است.»

آنها قادر به کپی کردن مواردی مانند اطلاعات اولیه حساب مشتری، از جمله آدرس‌های ایمیل و آدرس‌های IP که مشتریان از طریق آنها به LastPass دسترسی داشته‌اند، و «فیلدهای حساس کاملاً رمزگذاری‌شده مانند نام‌های کاربری و رمزهای عبور وب‌سایت، یادداشت‌های ایمن و داده‌های پرشده با فرم» را کپی کنند.

با این وجود، LastPass به مشتریان هشدار داد که ممکن است برای مهندسی اجتماعی، تلاش‌های فیشینگ یا روش‌های دیگر هدف قرار بگیرند.

اما بیانیه این شرکت در روز پنجشنبه گفت که کد منبع و اطلاعات فنی که به عنوان بخشی از آن هک به سرقت رفته بود برای هدف قرار دادن کارمند دیگری استفاده شده است. سپس هکرها توانستند اعتبار و کلیدهایی برای دسترسی و رمزگشایی داده های ذخیره شده در فضای ذخیره سازی ابری شخص ثالث به دست آورند.