خبر و ترفند روز

خبر و ترفند های روز را اینجا بخوانید!

LastPass چند بار هک شده است و آیا استفاده از آن هنوز بی خطر است؟

ارشیا یوسفی ادیب ۱۸ آبان, ۱۴۰۲ 7 min read

LastPass یک نام شناخته شده و قابل اعتماد در امنیت رمز عبور است، اما سابقه نقض آن ممکن است شما را به یک جایگزین تبدیل کند.

نکات کلیدی

  • LastPass در گذشته چندین نقض داده را تجربه کرده است، از جمله یکی در سال 2015 که ایمیل های کاربر و رمزهای عبور اصلی را فاش کرد. با این حال، اکثر کاربرانی که از لایه‌های امنیتی اضافی استفاده می‌کردند احتمالاً از این رخنه در امان بودند.
  • LastPass در سال 2021 با انتقادهایی مواجه شد که مشخص شد برنامه اندروید آنها حاوی ردیاب های شخص ثالث است و نگرانی هایی را در مورد امنیت ایجاد کرد. LastPass در پاسخ گفت که این ردیاب ها برای تله متری برنامه ها استفاده می شوند و می توانند توسط کاربران غیرفعال شوند.
  • LastPass در سال 2022 نقض قابل توجهی را تجربه کرد، جایی که مهاجمان به اطلاعات مشتریان و اطلاعات خزانه کاربر دسترسی داشتند. این نقض منجر به عواقب بیشتری برای LastPass و شرکت مادر آن، GoTo شد، از جمله پشتیبان‌های رمزگذاری شده سرقت شده و شواهد کلید رمزگذاری قابل دسترسی.
  • به طور کلی، در حالی که LastPass به طور کلی ایمن در نظر گرفته می شود، نقض های متعدد و حوادث امنیتی باعث شده است که برخی از کاربران به دنبال مدیران رمز عبور جایگزین باشند که در معرض خطر قرار نگرفته اند.

بسیاری از ما از مدیریت رمز عبور برای ایمن نگه داشتن اطلاعات خصوصی خود استفاده می کنیم که LastPass یکی از محبوب ترین گزینه های موجود است. اما LastPass به سهم خود از نقض اطلاعات آسیب دیده است و اطلاعات حساس مشتریان را در معرض خطر قرار داده است.

بنابراین، چند بار LastPass هک شده است، و آیا هنوز هم استفاده از آن بی خطر است؟

1. رخنه LastPass 2015

قفل رمز عبور در تلفن هوشمند روی لپ تاپ گذاشته شده است

اولین هک LastPass در ژوئن 2015، هفت سال پس از تاسیس شرکت رخ داد. این نقض شدید ایمیل ها و رمزهای عبور اصلی کاربران LastPass و همچنین کلمات اشاره یا یادآوری مورد استفاده برای به خاطر سپردن رمزهای عبور اصلی را فاش کرد. این هک زمانی مورد توجه قرار گرفت که LastPass فعالیت مشکوکی شبکه را دریافت کرد که به زودی مسدود شد. با این حال، قبلاً آسیب هایی وارد شده بود.

LastPass در یادداشتی که اکنون منقضی شده است برای مشتریان (که از طریق بایگانی اینترنت در دسترس است)، به کاربران اطلاع داد کسانی که از لایه‌های امنیتی اضافی مانند هش کردن و نمک زدن روی رمزهای عبور خود استفاده می‌کنند، احتمالاً از هک در امان هستند. خوشبختانه، اکثر کاربران LastPass از این روش‌های امنیتی استفاده می‌کنند، به این معنی که تنها بخش کوچکی از مشتریان این شانس را داشتند که تحت تأثیر قرار بگیرند.

LastPass همچنین اظهار داشت که معتقد نیست به دلیل حمله به هیچ حساب کاربری دسترسی پیدا کرده است، اما از کاربران می‌خواهد آدرس ایمیل خود را تأیید کنند و هر هفته تمدید کنند یا از رمزهای عبور اصلی استفاده مکرر برای تقویت امنیت استفاده کنند.

مطلب مرتبط:   نحوه رمزگذاری درایو سیستم ویندوز با VeraCrypt

چند هفته پس از هک، LastPass یک پست وبلاگ منتشر کرد که در آن بیان کرد که امنیت آن پس از هک بهبود یافته است و مجموعه ای از تغییرات کوچک و بزرگ برای محافظت بیشتر از مشتریان ایجاد شده است. شامل این تغییرات، معرفی ماژول‌های امنیتی سخت‌افزار (HSM) بود که از زیرساخت رمزنگاری LastPass محافظت می‌کرد.

2. حادثه ردیابی LastPass 2021

مردی که از لپ تاپ در اتاق تاریک استفاده می کند

اگرچه LastPass در سال 2021 هک نشد، اما زمانی که مشخص شد برنامه اندروید آن حاوی ردیاب های شخص ثالث است، با مشکل مواجه شد. در فوریه 2021، یک برنامه تجزیه و تحلیل امنیتی به نام Exodus Privacy فاش کرد که هفت ردیاب را در برنامه اندروید LastPass پیدا کرده است که باعث ایجاد شک در بین کاربران شد. محقق امنیتی مایک کوکتز در مورد این کشف در یک پست وبلاگ Kuketz IT Security اظهار داشت که «ادغام [تبلیغات و ردیاب‌ها] در برنامه‌های مدیریت رمز عبور کاملاً دور از ذهن است».

Kuketz همچنین هفت ردیاب موجود در برنامه اندروید LastPass را فهرست کرده است که شامل ردیاب هایی از Google Analytics، Segment و AppsFlyer می شود. اعطای دسترسی به پلتفرم های تجزیه و تحلیل بازاریابی از این طریق توسط Kuketz محکوم شد و نوشت که رویکرد LastPass “از نظر امنیت بسیار مشکوک است.”

Kuketz تأکید کرد که برنامه Android LastPass باید به صورت دستی بررسی شود تا تشخیص داده شود که آیا ردیاب ها به طور فعال کاربران را تحت نظر دارند یا خیر. اما وجود ردیاب‌ها به تنهایی توسط Kuketz به عنوان عمل بدی برای برنامه‌ای که نیاز به اولویت‌بندی امنیت دارد، یاد کرد.

در پاسخ به این انتقاد، LastPass به کاربران اطلاع داد که از ابزارهای تحلیلی استفاده می کند. LastPass تاکید کرد که این کار برای دریافت بینش‌هایی در مورد “تله‌متری برنامه، داده‌های گزارش خطا و خرابی، و همچنین اطلاعات آماری استفاده در سطح ashigh برای بهبود عملکرد کلی، قابلیت اطمینان و قابلیت استفاده [برنامه]” انجام شده است.

همچنین گفته شد که عنصر تجزیه و تحلیل برنامه LastPass یک ویژگی اختیاری است که کاربران می توانند آن را در تنظیمات پیشرفته خود غیرفعال کنند. اما صرف نظر از این موضوع، وجود ردیاب ها در اپلیکیشن اندروید LastPass طعم بدی را در دهان تحلیلگران و کاربران امنیتی بر جای گذاشت.

3. نقض LastPass 2022

تصویر پنجره ورود به لپ تاپ و هکر پشت لپ تاپ

مدتی طول کشید تا LastPass پس از حادثه اولیه سال 2015 با یک حمله سایبری دیگر مواجه شود. اما در سال 2022، واقعاً حمله دیگری رخ داد. امسال سال سختی برای LastPass بود، با هک اولیه در ماه آگوست که باعث ایجاد امواج شوک شد که تا سال 2023 ادامه خواهد داشت.

مطلب مرتبط:   ایمیل های شوم مایکروسافت ممکن است یک کلاهبرداری باشد

در اوایل آگوست 2022، LastPass از رخنه ای آگاه شد که در آن یک هکر لپ تاپ توسعه دهنده LastPass را برای سرقت کد منبع و دسترسی به پلتفرم توسعه مبتنی بر ابر شرکت به خطر انداخته بود. هکر با احراز هویت موفقیت آمیز خود به عنوان کاربر، امنیت احراز هویت چند عاملی در حساب مهندس را دور زد. در حالی که این یک حادثه بسیار نگران کننده بود، هکر هیچ اطلاعات مشتری را بازیابی نکرد.

اما چند ماه بعد اوضاع بدتر شد. در دسامبر 2022، LastPass اعلام کرد که هک آگوست به مهاجمان راهی برای ورود به مناطق حساس‌تر زیرساخت‌هایش داده است که اولین بار در نوامبر مورد سوء استفاده قرار گرفت. این بار هکرها به اطلاعات مشتریان LastPass از جمله آدرس ایمیل و IP، شماره تلفن و نام دسترسی پیدا کردند. علاوه بر این، انواع خاصی از داده‌های خزانه کاربر، از جمله نام‌های کاربری و رمزهای عبور ذخیره‌شده برای حساب‌های آنلاین، افشا شد.

نیازی به گفتن نیست که LastPass اکنون در آب بسیار داغ بود و همه چیز در سال 2023 متوقف نمی شد.

افترافکت 2023

اگرچه سال 2023 هیچ هک جدیدی برای LastPass به همراه نداشت، اما اطلاعات ناراحت کننده بیشتری در مورد سوء استفاده های سال 2022 به ارمغان آورد.

در ژانویه 2023، شرکت مادر LastPass، GoTo، بیانیه‌ای درباره عواقب هک‌های سال 2022 منتشر کرد. بیانیه GoTo توضیح داد که چندین سرویس دیگر این شرکت از جمله Central، Hamachi، Pro، join.me و RemotelyAnywhere نیز از طریق یک دستگاه ذخیره سازی ابری شخص ثالث توسط مهاجمان هدف قرار گرفتند. از این دستگاه، مهاجمان پشتیبان‌های رمزگذاری شده را سرقت کردند. علاوه بر این، GoTo فاش کرد که شواهدی پیدا کرده است که نشان می‌دهد کلید رمزگذاری برای برخی از نسخه‌های پشتیبان به سرقت رفته نیز دسترسی داشته است.

در فوریه 2023، LastPass بار دیگر خود را در سرفصل های خبری پیدا کرد، زمانی که فاش شد که بین هک های اول و دوم 2022، اقدامات مخرب بیشتری توسط مهاجمان انجام شده است.

همانطور که در پست X بالا مستند شده است، هکرهای نوامبر 2022 کامپیوتر خانگی یک توسعه دهنده ارشد LastPass را از طریق یک آسیب پذیری رسانه نرم افزار به خطر انداختند. پس از هک کردن رایانه، هکرها یک کی لاگر نصب کردند که به آنها امکان می داد آنچه را که توسعه دهنده روی صفحه کلید خود تایپ می کند، مشاهده کنند.

این به مهاجمان امکان دسترسی به رمز عبور اصلی خزانه شرکتی LastPass توسعه‌دهنده را می‌دهد و به مهاجمان اجازه می‌دهد به خود صندوق دسترسی داشته باشند. آنچه در اینجا تکان دهنده است این است که تنها چهار توسعه دهنده ارشد LastPass به صندوق شرکت دسترسی داشتند و مهاجمان همچنان موفق شدند یکی از این توسعه دهندگان را با موفقیت هدف قرار دهند.

مطلب مرتبط:   گوشی خود را با برنامه Google Authenticator گم کرده اید؟ کار بعدی چیه

هکرها همچنین از اعتبار کاربری دزدیده شده در سال 2022 برای سرقت 4.4 میلیون دلار ارز دیجیتال در اکتبر 2023 استفاده کردند. گمان می‌رود که مهاجمان در دومین رخنه در سال 2022 به عبارات و کلیدهای کیف پول رمزنگاری دسترسی پیدا کرده‌اند و به آنها اجازه می‌دهند کیف پول‌ها را هک کنند و ارزهای دیجیتال را به دلخواه خود پس بگیرند. نشانی.

LastPass فهرست کاملی از داده‌هایی دارد که در هک‌های 2022 به آن‌ها دسترسی پیدا کرده‌اند، اگر می‌خواهید همه چیزهایی که به دلیل حوادث سال 2022 افشا شده است را ببینید.

آیا استفاده از LastPass هنوز ایمن است؟

اگرچه LastPass از سال 2008 در خدمت بوده است، اما بیشتر موارد نقض اطلاعات و حوادث امنیتی آن در دهه 2020 رخ داده است. با توجه به مسائل امنیتی متعدد گذشته، طبیعی است که در مورد استفاده از LastPass کمی عصبی شوید، بنابراین حکم در اینجا چیست؟ آیا استفاده از LastPass ایمن است یا باید چیز دیگری را انتخاب کنید؟

در حالی که استفاده از LastPass نسبت به یک برنامه یادداشت ساده یا گزینه ذخیره سازی مشابه ایمن تر است، ممکن است امروزه مدیران رمز عبور بهتری وجود داشته باشد. LastPass با بسیاری از آسیب‌ها در سابقه امنیتی خود، برای بسیاری ممنوع شده است، زیرا نمی‌دانیم چه زمانی نقض دیگری رخ خواهد داد. با توجه به اینکه سال 2022 مشکلات زیادی را برای LastPass و کاربران آن ایجاد کرده است، جای تعجب نیست که برخی از کاربران از مدیریت رمز عبور استفاده کنند که هنوز هک نشده است.

Dashlane و NordPass تنها دو نمونه از مدیران رمز عبور بسیار معتبر هستند که هرگز دچار نقض امنیتی نشده‌اند، بنابراین مطمئناً می‌توان مدیر رمز عبوری را پیدا کرد که داده‌های مشتریان یا پورتال کارمندان خود را در معرض هکرها قرار نداده باشد.

اگر در حال حاضر از LastPass استفاده می کنید اما می خواهید به جای دیگری بروید، راهنمای ما در مورد حذف حساب LastPass خود را بررسی کنید. اگر برای انتخاب جایگزین نیاز به کمک دارید، ما همچنین یک راهنمای مفید در مورد ایمن ترین مدیران رمز عبور داریم.

با این حال، حوادث امنیتی LastPass آن را به یک مدیر رمز عبور ناامن تبدیل نمی کند. این برنامه هنوز دارای بسیاری از ویژگی های مفید برای محافظت از اطلاعات کاربری حساس است و بدون در نظر گرفتن مهارت های فنی، استفاده از آن آسان است.

LastPass پادشاه مدیریت رمز عبور نیست

استفاده از LastPass برای ذخیره رمزهای عبور ذاتاً مشکلی ندارد، زیرا این برنامه به طور کلی کاملاً ایمن است. با این حال، اگر می‌خواهید اطمینان حاصل کنید که اطلاعات حساس شما تا حد امکان مؤثر ذخیره می‌شوند، ارزش دارد به جایگزین‌های فوق‌العاده امنی که وجود دارد توجه کنید.

Tags: