کاربران LastPass: اطلاعات و اطلاعات رمز عبور شما اکنون در دست هکرها است

LastPass، یکی از مدیران پیشرو گذرواژه، گفت که هکرها اطلاعات شخصی زیادی متعلق به مشتریانش و همچنین رمزهای عبور رمزگذاری شده و هش شده رمزنگاری شده و سایر داده های ذخیره شده در خزانه مشتریان را به دست آورده اند.

این افشاگری که در روز پنجشنبه منتشر شد، نشان‌دهنده یک به‌روزرسانی چشمگیر برای نقض LastPass است که در ماه اوت فاش شد. در آن زمان، این شرکت گفت که یک عامل تهدید از طریق یک حساب توسعه‌دهنده در معرض خطر به بخش‌هایی از محیط توسعه مدیر رمز عبور دسترسی غیرمجاز پیدا کرده و «بخش‌هایی از کد منبع و برخی اطلاعات فنی اختصاصی LastPass را گرفته است». این شرکت در آن زمان اعلام کرد که رمز عبور اصلی مشتریان، گذرواژه های رمزگذاری شده، اطلاعات شخصی و سایر داده های ذخیره شده در حساب های مشتری تحت تأثیر قرار نگرفته است.

داده های حساس، چه رمزگذاری شده و چه غیر رمزگذاری شده، کپی شده اند

در به‌روزرسانی روز پنجشنبه، این شرکت اعلام کرد هکرها به اطلاعات شخصی و ابرداده‌های مرتبط از جمله نام شرکت، نام کاربر نهایی، آدرس صورت‌حساب، آدرس ایمیل، شماره تلفن و آدرس‌های IP که مشتریان برای دسترسی به خدمات LastPass استفاده می‌کردند، دسترسی پیدا کردند. هکرها همچنین یک نسخه پشتیبان از داده های انبار مشتری کپی کردند که شامل داده های رمزگذاری نشده مانند URL های وب سایت و فیلدهای داده رمزگذاری شده مانند نام های کاربری و رمز عبور وب سایت، یادداشت های ایمن و داده های پر شده با فرم بود.

کریم توبا، مدیر عامل LastPass با اشاره به طرح رمزگذاری پیشرفته و کمی نوشت: «این فیلدهای رمزگذاری شده با رمزگذاری AES 256 بیت ایمن باقی می‌مانند و فقط می‌توانند با یک کلید رمزگذاری منحصربه‌فرد که از رمز عبور اصلی هر کاربر و با استفاده از معماری Zero Knowledge ما استخراج می‌شود، رمزگشایی شوند. نرخی که قوی در نظر گرفته می شود. Zero Knowledge به سیستم های ذخیره سازی اطلاق می شود که رمزگشایی آنها برای ارائه دهنده خدمات غیرممکن است. مدیرعامل ادامه داد:

به عنوان یادآوری، رمز عبور اصلی هرگز برای LastPass شناخته شده نیست و توسط LastPass ذخیره یا نگهداری نمی شود. رمزگذاری و رمزگشایی داده ها فقط بر روی کلاینت محلی LastPass انجام می شود. برای اطلاعات بیشتر در مورد معماری Zero Knowledge و الگوریتم‌های رمزگذاری، لطفاً اینجا را ببینید.

این به روز رسانی می گوید که در تحقیقات شرکت تاکنون، هیچ نشانه ای مبنی بر دسترسی به داده های کارت اعتباری رمزگذاری نشده وجود ندارد. LastPass داده های کارت اعتباری را به طور کامل ذخیره نمی کند و داده های کارت اعتباری که ذخیره می کند در یک محیط ذخیره سازی ابری متفاوت از محیطی که عامل تهدید به آن دسترسی داشته است نگهداری می شود.

به نظر می رسد نفوذی که در ماه اوت فاش شد و به هکرها اجازه داد کد منبع LastPass و اطلاعات فنی اختصاصی را سرقت کنند، مربوط به نقض جداگانه Twilio، ارائه دهنده خدمات ارتباطی و احراز هویت دو مرحله ای در سانفرانسیسکو است. عامل تهدید در آن نقض اطلاعات 163 مشتری Twilio را به سرقت برد. همان فیشرهایی که به Twilio حمله کردند، حداقل 136 شرکت دیگر از جمله LastPass را نیز زیر پا گذاشتند.

به‌روزرسانی روز پنجشنبه اعلام کرد که عامل تهدید می‌تواند از کد منبع و اطلاعات فنی دزدیده شده از LastPass برای هک کردن یک کارمند جداگانه LastPass و دریافت اعتبارنامه‌های امنیتی و کلیدهایی برای دسترسی و رمزگشایی حجم‌های ذخیره‌سازی در سرویس ذخیره‌سازی مبتنی بر ابر شرکت استفاده کند.

«تا به امروز، ما مشخص کرده‌ایم که وقتی کلید دسترسی به فضای ذخیره‌سازی ابری و کلیدهای رمزگشایی کانتینر ذخیره‌سازی دوگانه به دست آمد، عامل تهدید اطلاعاتی را از پشتیبان‌گیری کپی کرد که حاوی اطلاعات اولیه حساب مشتری و ابرداده‌های مرتبط بود، از جمله نام شرکت، نام کاربر نهایی، صورت‌حساب. آدرس‌ها، آدرس‌های ایمیل، شماره تلفن‌ها و آدرس‌های IP که مشتریان از آن‌ها به سرویس LastPass دسترسی داشتند، گفت: Toubba. عامل تهدید همچنین توانست یک نسخه پشتیبان از داده‌های ذخیره‌سازی مشتری را از ظرف ذخیره‌سازی رمزگذاری‌شده کپی کند، که در یک فرمت باینری اختصاصی ذخیره می‌شود که حاوی داده‌های رمزگذاری نشده، مانند URLهای وب‌سایت، و همچنین فیلدهای حساس کاملاً رمزگذاری شده، مانند نام‌های کاربری و رمزهای عبور وب‌سایت، یادداشت‌های ایمن و داده‌های پرشده با فرم.»

نمایندگان LastPass به ایمیلی که از چند مشتری کپی شده بود پاسخ ندادند.

اکنون امنیت خود را تقویت کنید

به‌روزرسانی روز پنج‌شنبه همچنین چندین راه‌حل را فهرست کرده است که LastPass برای تقویت امنیت خود پس از این رخنه استفاده کرده است. این مراحل شامل از کار انداختن توسعه هک شده و بازسازی آن از ابتدا، حفظ سرویس شناسایی و پاسخ نقطه پایانی مدیریت شده، و چرخش تمام اعتبارنامه‌ها و گواهی‌های مربوطه است که ممکن است تحت تأثیر قرار گرفته باشند.

با توجه به حساسیت داده های ذخیره شده توسط LastPass، این هشدار دهنده است که چنین گستره وسیعی از داده های شخصی به دست آمده است. همچنین نگران کننده این واقعیت است که خزانه های کاربران اکنون در دست عامل تهدید است. در حالی که شکستن هش رمز عبور به منابع عظیمی نیاز دارد، این امر دور از ذهن نیست، به ویژه با توجه به اینکه عامل تهدید چقدر روشمند و مدبر بوده است.

مشتریان LastPass باید مطمئن شوند که رمز عبور اصلی خود و همه رمزهای عبور ذخیره شده در صندوق خود را تغییر داده اند. آنها همچنین باید مطمئن شوند که از تنظیماتی استفاده می کنند که بیش از پیش فرض LastPass است. این تنظیمات رمزهای عبور ذخیره شده را با استفاده از 100100 تکرار تابع استخراج کلید مبتنی بر رمز عبور (PBKDF2) هش می کنند، یک طرح هش که می تواند شکستن رمزهای عبور اصلی طولانی، منحصر به فرد و تصادفی ایجاد شده را غیرممکن کند. 100100 تکرار به طرز تاسف باری از آستانه 310000 تکراری که OWASP برای PBKDF2 در ترکیب با الگوریتم هش SHA256 استفاده شده توسط LastPass توصیه می کند، کمتر است. مشتریان LastPass می توانند تعداد فعلی تکرارهای PBKDF2 را برای حساب های خود در اینجا بررسی کنند.

چه آنها یک کاربر LastPass باشند یا نه، همه باید یک حساب کاربری در Have I been Pwned ایجاد کنند؟ تا اطمینان حاصل کنند که در اسرع وقت از هرگونه نقضی که بر آنها تأثیر می گذارد مطلع شوند.

مشتریان LastPass همچنین باید نسبت به ایمیل‌های فیشینگ و تماس‌های تلفنی که ظاهراً از LastPass یا سایر سرویس‌هایی که به دنبال داده‌های حساس و سایر کلاهبرداری‌هایی هستند که از داده‌های شخصی به خطر افتاده آنها سوء استفاده می‌کنند، هوشیار باشند. این شرکت همچنین توصیه های خاصی برای مشتریان تجاری دارد که خدمات ورود فدرال LastPass را پیاده سازی کرده اند.