شما آن را شنیده اید بارها و بارها: برای ایجاد رمزهای عبور قوی و منحصر به فرد و پیگیری آنها باید از یک مدیر رمز عبور استفاده کنید. و اگر در نهایت با یک گزینه رایگان و معمولی، به ویژه در طول دهه 2010، دست به کار شدید، احتمالاً LastP، بوده است. با این حال، این شرکت برای 25.6 میلیون کاربر این سرویس امنیتی ساخته است یک اطلاعیه نگران کننده در 22 دسامبر: یک حادثه امنیتی که شرکت قبلاً گزارش کرده بود (در 30 نوامبر) در واقع یک نقض گسترده و نگران کننده داده بود که مخازن رمز عبور رمزگذاری شده – جواهرات تاج هر مدیر رمز عبور – را به همراه سایر داده های کاربر فاش کرد.
جزئیاتی که LastP، در مورد وضعیت یک هفته پیش ارائه کرد به اندازه کافی نگران کننده بود که متخصصان امنیتی به سرعت شروع به درخواست از کاربران برای تغییر سرویس های دیگر ،د. اکنون که نزدیک به یک هفته از افشای این خبر می گذرد، این شرکت اطلاعات بیشتری را به مشتریان گیج و نگران ارائه نکرده است. LastP، درخواستهای چندگانه WIRED را برای اظهار نظر در مورد اینکه چه تعداد از ،انههای گذرواژه در این رخنه به خطر افتاده و چه تعداد کاربر تحت تأثیر قرار گرفتهاند، برنگردانده است.
این شرکت حتی مشخص نکرده است که چه زم، نقض رخ داده است. به نظر می رسد مدتی پس از آگوست 2022 بوده است، اما زمان آن قابل توجه است، زیرا یک سوال بزرگ این است که مهاجمان چه مدت طول می کشد تا کلیدهای مورد استفاده برای رمزگذاری مخازن رمزهای دزدیده شده را شروع به “کرک ،” یا حدس زدن کنند. اگر مهاجمان سه یا چهار ماه با دادههای به سرقت رفته فرصت داشته باشند، وضعیت برای کاربران آسیبدیده LastP، حتی فوریتر از زم، است که هکرها تنها چند هفته فرصت داشته باشند. این شرکت همچنین به سوالات WIRED در مورد آنچه که آن را “فرمت باینری اختصاصی” می نامد که برای ذخیره داده های م،ن رمزگذاری شده و رمزگذاری نشده استفاده می کند، پاسخ نداد. در تشریح مقیاس این وضعیت، این شرکت در اعلامیه خود گفت که هکرها “می توانند یک نسخه پشتیبان از داده های انبار مشتری را از ظرف ذخیره سازی رمزگذاری شده کپی کنند.”
ایوان جانسون، مهندس امنیتی که بیش از هفت سال پیش در LastP، کار میکرد، میگوید: «به نظر من، آنها یک کار در سطح جه، در شناسایی حوادث و یک کار واقعاً سخت در پیشگیری از مشکلات و پاسخگویی شفاف انجام میدهند. “من یا به دنبال گزینه های جدید هستم یا به دنبال تمرکز مجدد بر اعتمادسازی در چند ماه آینده از تیم مدیریت جدید آنها هستم.”
این نقض همچنین شامل سایر دادههای مشتری، از جمله نام، آدرس ایمیل، شماره تلفن و برخی اطلاعات صورتحساب میشود. و LastP، مدتهاست که به خاطر ذخیره دادههای ،انه خود در قالب ،یبی که در آن مواردی مانند رمزهای عبور رمزگذاری شدهاند، اما اطلاعات دیگر مانند URLها رمزگذاری نشدهاند، مورد انتقاد قرار گرفته است. در این شرایط، URLهای متن ساده در یک ،انه میتواند به مهاجمان ایدهای از آنچه در داخل آن است میدهد و به آنها کمک میکند تا اولویتبندی کنند که کدام ،انهها ابتدا روی کرک ، کار کنند. ،انهها که توسط یک رمز عبور اصلی انتخاب شده توسط کاربر محافظت میشوند، مشکل خاصی را برای کاربر، ایجاد میکنند که میخواهند از خود در پی رخنه محافظت کنند، زیرا تغییر گذرواژه اصلی اکنون با LastP، هیچ کاری برای محافظت از دادههای م،ن انجام نمیدهد. قبلا به سرقت رفته است
یا، همانطور که جانسون میگوید، «با بازیابی مخازن، افرادی که LastP، را هک کردهاند، با حدس زدن رمزهای عبور و تلاش برای بازیابی کلیدهای اصلی کاربران خاص، زمان نامحدودی برای حملات آفلاین دارند».
منبع: https://www.wired.com/story/lastp،-breach-vaults-p،word-managers/