تحديث اختراق LastPass – 22 أغسطس – 22 ديسمبر

26 يناير التحديث 3:

قام CyberHoot بصياغة مشروع جديد مقالة LastPass: القشة الأخيرة لـ LastPass بشكل منفصل مع معايير اختيار مدير كلمة المرور البديل.

23 ديسمبر 2022 التحديث 2:

Naked Security له هذا المقال يُفصّلون موقفهم من اختراق LastPass واعترافهم بسرقة خزائن مُشفّرة. لديهم بعض التعليقات والأفكار المفيدة. هذا دفع CyberHoot للتفكير أكثر...

لقد خزّننا معلومات بطاقة الائتمان الخاصة بنا في LastPass لتسهيل تعبئة النماذج. هل سنلغي بطاقات الائتمان ونعيد إصدارها؟ شخصيًا، لن أفعل. كانت كلمة مروري الرئيسية طويلة ومعقدة لدرجة أن كسرها يتطلب جهدًا كبيرًا. مقياس قوة كلمة المرور للموقع كان: ٧ كوادريليون سنة! يا له من ارتياح!

23 ديسمبر 2022: تحديث اختراق CyberHoot LastPass:

أصدرت شركة LastPass معلومات جديدة حول أحدث إعلان لها عن الاختراق في 30 نوفمبر، حيث رصدت عمليات الرصد اختراقًا جديدًا (مرتبطًا باختراق أغسطس). في هذا التحديث الصادر بتاريخ 12 ديسمبر 22، أقرّت الشركة باعتقادها أن خزائن كلمات مرور العملاء المشفرة بتقنية AES 2022 بت قد سُرقت من جهة خارجية. وهذه هي المرة الأولى التي تُقرّ فيها الشركة بتعرض بيانات عملائها للخطر. إليكم رأيها في هذا الموقف:

22 ديسمبر، تحديث مدونة LastPass:  

إذا استخدمت الإعدادات الافتراضية أعلاه، فسيستغرق الأمر ملايين السنين لتخمين كلمة مرورك الرئيسية باستخدام تقنية كسر كلمات المرور المتاحة للجميع. ستظل بياناتك الحساسة في الخزنة، مثل أسماء المستخدمين وكلمات المرور والملاحظات الآمنة والمرفقات وحقول تعبئة النماذج، مشفرة بشكل آمن استنادًا إلى بنية LastPass "المعرفة الصفرية". لا توجد إجراءات موصى بها عليك اتخاذها حاليًا.

مع ذلك، من المهم ملاحظة أنه إذا لم تستخدم كلمة مرورك الرئيسية الإعدادات الافتراضية المذكورة أعلاه، فسيؤدي ذلك إلى تقليل عدد المحاولات اللازمة لتخمينها بشكل كبير. في هذه الحالة، وكإجراء أمني إضافي، يُنصح بتقليل المخاطر بتغيير كلمات مرور مواقع الويب المُخزّنة لديك.

إذن، ماذا يعني هذا لجميع مستخدمي LastPass، أو للشركات التي وفّرت LastPass لمستخدميها؟ في الواقع، يتطلب الأمر جهدًا كبيرًا.

تقييم تأثير CyberHoot:

يعلم موظفونا ما يلي على أنه صحيح: في العديد من بيئات LastPass التي أشرفنا عليها على مدار العقد الماضي، وعلى الرغم من مقاطع الفيديو التدريبية وسياسات كلمة المرور الخاصة بنا التي تتطلب حدًا أدنى من كلمات المرور المكونة من 14 حرفًا (أطول بحرفين من كلمات المرور الافتراضية في LastPass)، فقد رأينا العديد من كلمات المرور الرئيسية التي كانت ضعيف. لذلك، ونظرًا للافتقار العام إلى نظافة كلمات المرور القوية بشكل عام، فإن معلومات الاختراق الجديدة هذه من LastPass تتطلب من CyberHoot تقديم التوصيات التالية لأي شخص يستخدم LastPass شخصيًا أو في عملك:

1. أبلغ المستخدمين بهذا الاختراق ووضح ما يلي:احسب طول كلمة مرورك اليوم. إذا استخدمت كلمة مرور رئيسية أقصر من ١٢ حرفًا، فعليك تغييرها اليوم."
2. إذا كانت كلمة مرورك الرئيسية تتكون من ١٢ حرفًا أو أكثر، فلا يزال بإمكانك اتباع النصائح التالية، ولكننا لا نعتقد أنها ضرورية تمامًا. يمكنك الانتقال إلى الخطوة ٣.٣ أدناه. أما إذا كانت كلمة مرورك أقصر، خاصةً إذا كانت مكونة من ٨ أو ٩ أحرف أو أقل، فانتقل إلى الخطوة ٣.
3. إذا كنت تقوم بتغيير كلمة المرور الرئيسية الخاصة بك بسبب التوصية رقم 1 أعلاه، فافعل ذلك أيضًا كل واحد مما يلي:
   1. 1. اجعل كلمة المرور الرئيسية الجديدة عبارة عن عبارة مرور من ١٤ إلى ٢٠ حرفًا! شاهد هذا فيديو كلمات المرور وعبارات المرور الخاصة بـ CyberHoot للحصول على نصائح مفيدة.
      2. قم بتغيير كلمات المرور لجميع حساباتك المهمة المخزنة في مخزن كلمات المرور الخاص بك[ملاحظة: نعم، نسمع استياءً جماعيًا من هذا الاقتراح. افعله على أي حال.] السبب هو أنه إذا كانت لديك كلمة مرور قصيرة قابلة للاختراق بالقوة الغاشمة، فقد تكون جميع كلمات مرورك معرضة للخطر. لديك فترة زمنية قصيرة قبل أن يتمكن مخترقو LastPass نظريًا من استهداف خزنتك واختراق حسابك بالقوة الغاشمة. لذلك، كإجراء احترازي، غيّر جميع كلمات مرور حساباتك المهمة لحمايتها من الاختراق.نصيحة CyberHoot: قم بتغيير كلمة مرور البريد الإلكتروني الخاص بك أولاً إذا لم تكن مرتبطة بالمصادقة متعددة العوامل (المعروفة أيضًا باسم: MFA).
      3. تمكين الوصول متعدد العوامل إلى مخزن كلمات المرور LastPass الخاص بك.  استخدم تطبيق مصادقة (ليس بالضرورة أن يكون LastPass Authenticator). تطبيقات المصادقة أكثر أمانًا من المصادقة متعددة العوامل عبر الرسائل النصية.ملاحظة CyberHootتفعيل المصادقة الثنائية لا يحمي الخزائن المسروقة في هذا الاختراق لـ LastPass. سيحاول اللصوص اختراق خزائن كلمات المرور باستخدام قوة (طول) كلمة المرور الرئيسية التي حددتها فقط.
4. هذه الخطوة تنطبق على الجميع. يُمكَِن مصادقة متعددة العوامل (MFA)، باستخدام تطبيق المصادقة، أو إذا كنت مهتمًا حقًا بالأمن، Yubikey رمز الجهاز، على جميع حساباتك الإلكترونية التي تدعم المصادقة الثنائية. هذا سيمنع حتى اختراق خزنة LastPass من التسبب في اختراق حساباتك المحمية بالمصادقة الثنائية. المصادقة الثنائية هي الحل الأمثل. قد يبدو الأمر مزعجًا أحيانًا، لكن الحقيقة أن ألم الاختراق أشد وطأة.  افعل هذا اليوم.

جدوى CyberHoot LastPass:  Q: هل تعتقد CyberHoot أن LastPass هو الحل المناسب في ظل هذا الاختراق والاختراقات السابقة التي واجهتها؟

الإجابة: لا يمكننا الإجابة عن هذا السؤال نيابةً عنك. بالنسبة لـ Cyberhoot، سنستمر في استخدام LastPass لأننا نمتلك كامل حقوق الملكية فيها حاليًا. كلمات المرور الرئيسية لدينا أطول بكثير من ١٢ حرفًا، مما يجعل سرقة خزنتنا غير مُرجحة أن تُسفر عن أي شيء للمخترقين المعنيين. بالإضافة إلى ذلك، وعلى الرغم من مدى صعوبة هذه الحادثة بالنسبة لـ LastPass، إلا أنها تُظهر التزامهم بالشفافية والأمان.  ربما كان من الأسهل عليهم إخفاء هذه الحادثة لو تم تجاهلها.  لم يفعلوا ذلك. نريد شركةً شفافةً، تعترف بالأخطاء عند وقوعها، وتعتمد نظام مراقبة متقدمًا لرصد الثغرات الأمنية (كما فعلت في هذه الحالة)، وتُبلغ عنها بصدقٍ وانفتاح. سنختتم ببيانٍ لطالما نُسب إلى مكتب التحقيقات الفيدرالي (FBI) لأنه ينطبق على جميع الشركات وجميع مُورّدي برامج إدارة كلمات المرور.

"هناك نوعان من الشركات في هذا العالم: شركات تعلم أنها تعرضت للاختراق، وشركات لا تعلم.

نعلم متى وكيف تم اختراق LastPass هنا. هل لدينا أي معلومات عن أي برامج أخرى لإدارة كلمات المرور تعرضت للاختراق؟

الشفافية الكاملة:  لم تربح CyberHoot سنتًا واحدًا من LastPass، سواءً من خلال برنامج الإحالة أو غيره. ربما أبقينا آلاف الدولارات من أموال الإحالة على الطاولة بسبب رغبتنا في البقاء بعيدًا عن أعيننا فيما يتعلق بتقاريرنا.

مصادر:

مقالة Naked Security بتاريخ 23 ديسمبر حول خرق LastPass

مدونة LastPass توضح الاختراق وردود أفعالهم

قم بتأمين عملك مع CyberHoot اليوم!!!

سجّل الآن