برای کسانی که از راهنمایی های رمز عبور LastPass پیروی می کنند، این شرکت گفت: “میلیون ها سال طول می کشد تا رمز عبور اصلی خود را با استفاده از فناوری شکستن رمز عبور معمولی در دسترس حدس بزنید.”
© 2022 بلومبرگ LP
برای کسانی که از راهنمایی های رمز عبور LastPass پیروی می کنند، این شرکت گفت: “میلیون ها سال طول می کشد تا رمز عبور اصلی خود را با استفاده از فناوری شکستن رمز عبور معمولی در دسترس حدس بزنید.”
© 2022 بلومبرگ LP
LastPass، یک سرویس مدیریت رمز عبور، روز پنجشنبه اعلام کرد که هکرها کپی های رمزگذاری شده رمز عبور مشتریان و سایر داده های حساس مانند آدرس صورتحساب، شماره تلفن و آدرس IP را به سرقت برده اند. این اعلامیه آخرین به روز رسانی از یک نقض است که در ماه اوت رخ داد. در آن زمان، این شرکت اعلام کرد که هیچ مدرکی دال بر دسترسی هکرها به دادههای مشتری یا انبارهای رمز عبور رمزگذاری شده ندیده است.
این شرکت گفت که شرکت امنیت سایبری Mandiant را برای بررسی این نقض استخدام کرده است. همچنین گفت که در حال بازسازی کل محیط توسعه خود از ابتدا است، که نشان می دهد هکرها به طور کامل سیستم های حساس شرکت را تشکیل داده اند.
مدیریت رمز عبور راهی برای مشتریان برای ذخیره نام کاربری و رمز عبور در یک مکان است و می توان با استفاده از رمز عبور اصلی که مشتری ایجاد می کند به آنها دسترسی پیدا کرد. در بیانیه خود گفته است که رمز عبور اصلی برای LastPass شناخته شده نیست و توسط شرکت ذخیره یا نگهداری می شود.
این شرکت گفت که سایر داده های رمزگذاری شده را فقط می توان «با یک کلید رمزگذاری منحصر به فرد مشتق شده از رمز عبور اصلی هر کاربر» رمزگشایی کرد.
LastPass گفت که تحقیقاتش ادامه دارد و مجری قانون و “مقامات نظارتی مربوطه” را مطلع کرده است.
یکی از نمایندگان LastPass به پیام هایی که به دنبال نظر بودند پاسخ نداد.
این شرکت در بیانیهای اعلام کرد: «ممکن است عامل تهدید برای حدس زدن رمز عبور اصلی شما و رمزگشایی کپیهای دادههای مخفی که گرفته است، از زور استفاده کند. «به دلیل روشهای هش و رمزگذاری که برای محافظت از مشتریان خود استفاده میکنیم، تلاش برای حدس زدن بیرحمانه گذرواژههای اصلی برای آن دسته از مشتریانی که بهترین شیوههای رمز عبور ما را دنبال میکنند، بسیار دشوار است.»
آنها قادر به کپی کردن مواردی مانند اطلاعات اولیه حساب مشتری، از جمله آدرسهای ایمیل و آدرسهای IP که مشتریان از طریق آنها به LastPass دسترسی داشتهاند، و «فیلدهای حساس کاملاً رمزگذاریشده مانند نامهای کاربری و رمزهای عبور وبسایت، یادداشتهای ایمن و دادههای پرشده با فرم» را کپی کنند.
با این وجود، LastPass به مشتریان هشدار داد که ممکن است برای مهندسی اجتماعی، تلاشهای فیشینگ یا روشهای دیگر هدف قرار بگیرند.
اما بیانیه این شرکت در روز پنجشنبه گفت که کد منبع و اطلاعات فنی که به عنوان بخشی از آن هک به سرقت رفته بود برای هدف قرار دادن کارمند دیگری استفاده شده است. سپس هکرها توانستند اعتبار و کلیدهایی برای دسترسی و رمزگشایی داده های ذخیره شده در فضای ذخیره سازی ابری شخص ثالث به دست آورند.