אנשים המעורבים בטכנולוגיה פיננסית, תכנות תוכנה, אבטחת סייבר ומטבעות קריפטוגרפיים דיברו על פרצת הנתונים של Lastpass שנחשפה לפני יומיים. חברת ניהול הסיסמאות פירטה כי הפרה, שבוצעה מוקדם יותר השנה, אפשרה להאקרים להשיג "גיבוי של נתוני כספת הלקוחות".
Lastpass חושף "שחקן האיום הצליח גם להעתיק גיבוי של נתוני כספת לקוחות"
ב-22 בדצמבר 2022, חברת ניהול הסיסמאות Lastpass ייחשף ש"שחקן איום לא ידוע" הצליח לפרוץ את סביבת האחסון מבוססת הענן של החברה באוגוסט 2022 או בסביבותיו. מיד עם פרסום הידיעה, דליפת הנתונים של Lastpass הייתה דיון אקטואלי ברשתות החברתיות ובפורומים. כמות גדולה של אנשים תאמינו שהמצב של Lastpass "עלול להיות גרוע יותר ממה שהם מרשים".
תוקפי LastPass מכירים כעת את כל האתרים שאוחסנו עבורכם סיסמאות ואת הכתמים, המוצפנים רק על ידי סיסמת האב שלך https://t.co/Wdbt6mWe8C https://t.co/HldcJ8DYkK
- SwiftOnSecurity (@SwiftOnSecurity) דצמבר 22, 2022
"בהתבסס על החקירה שלנו עד כה, למדנו ששחקן איום לא ידוע ניגש לסביבת אחסון מבוססת ענן תוך מינוף מידע שהתקבל מהאירוע שחשפנו בעבר באוגוסט 2022", מסר Lastpass. חברת ניהול הסיסמאות הוסיפה:
שחקן האיום הצליח גם להעתיק גיבוי של נתוני כספת הלקוחות ממיכל האחסון המוצפן המאוחסן בפורמט בינארי קנייני המכיל נתונים לא מוצפנים, כגון כתובות אתרים, כמו גם שדות רגישים מוצפנים במלואם כגון שמות משתמש באתר. וסיסמאות, הערות מאובטחות ונתונים מלאי טפסים.
Lastpass מתעקש שהשדות המוצפנים מאובטחים עם הצפנת AES של 256 סיביות וניתן לפענח את המידע רק על ידי מינוף סיסמת האב של כל משתמש באמצעות הסיסמה של החברה ארכיטקטורת אפס ידע. "כזכור, סיסמת האב לעולם אינה ידועה ל-Lastpass ואינה נשמרת או מתוחזקת על-ידי Lastpass", פירטה החברה.
lastpass נפרץ ומיד אחרי המון ארנקי קריפטו נפרצים ומתנקזים
"תהיה הבנק שלך"
לא, לך לפרוץ למפעל לבנים ומרגמות אם אתה רוצה חנונים של הכספים שלי, בהצלחה
— gainzy (@gainzy222) דצמבר 24, 2022
נראה שהבטחון האבטחה של Lastpass לא משכנע מספר מבקרים
עם זאת, מספר דיווחים מאמינים שהמצב גרוע יותר ממה ש-Lastpass מרשה. אנדרו היינצמן של Reviewgeek.com מדגיש בדוח שלו "בבקשה, תפסיק להשתמש ב-Lastpass." "גם אם אתה משתמש בסיסמת מאסטר חזקה, יש סיכוי שהאקרים ינסו להוציא ממך מידע דיוג", כתב היינצמן. המחבר הוסיף:
שיהיה ברור, Lastpass עדיין חוקרת את הפרת הנתונים הזו. ואחרי ארבעה חודשים של 'סליחה, זה יותר גרוע ממה שחשבנו', הלקוחות מודאגים בצדק של-Lastpass אין את כל הפרטים. למיטב ידיעתנו, הדברים עלולים להחמיר עוד יותר. ביקשנו מהקוראים שלנו להפסיק להשתמש ב-Lastpass ביולי 2020.
גם תומך הקריפטו אודי ורטהיימר מוזהר אנשים שאם הם משתמשים ב-Lastpass "לתוקף כנראה יש עותק של הכספת שלך." ההמלצה של ורטהיימר זהה לזו של היינצמן, שכן תומך המטבעות הדיגיטליים התעקש שמשתמשים צריכים "להפסיק להשתמש ב-Lastpass".
"אנחנו לא יודעים כמה דברים גרועים," ורטהיימר הוסיף. "ייתכן שלתוקפים יש גישה מתמשכת, אז אל תשנה רק את הסיסמאות שלך ותחזיר אותן ל-Lastpass." יתרה מכך, משתמש טוויטר שטוען כי עבד כמהנדס בחברה לפני שבע שנים ציין גם הוא שמצב הפריצה של Lastpass הוא עניין גדול.
"עבדתי ב-Lastpass כמהנדס לפני הרבה זמן. לפני 7+ שנים. 2 הסנט שלי על המצב", הפרט אמר. "זו הפרצה הגרועה ביותר שעברה ל-Lastpass. בהרבה. ההבדל העיקרי הוא שהפעם ניגשו לכספות לקוחות, שנשמרות במסד נתונים נפרד לחלוטין."
מה אתה חושב על פרצת הנתונים של Lastpass וההשערה שהיא גרועה יותר ממה ש- Lastpass נותנת? ספר לנו מה אתה חושב על הנושא הזה בקטע ההערות למטה.
נקודות זכות: Shutterstock, Pixabay, Wiki Commons
כתב ויתור: מאמר זה מיועד למטרות מידע בלבד. זו אינה הצעה ישירה או שידול של הצעה לרכישה או מכירה, או המלצה או אישור של מוצרים, שירותים או חברות כלשהם. Bitcoin.com אינו מספק ייעוץ להשקעה, מס, משפטי או חשבונאות. לא החברה ולא המחבר אחראים, במישרין או בעקיפין, לכל נזק או אובדן שנגרם או כביכול נגרם על ידי או בקשר לשימוש או בהסתמכות על תוכן, סחורה או שירותים כלשהם המוזכרים במאמר זה.
מקור: https://news.bitcoin.com/lastpass-data-breach-frightens-users-some-say-hack-may-be-worse-than-they-are-letting-on/