लास्टपास उल्लंघन अपडेट – 22 अगस्त – 22 दिसंबर

26 जनवरी अपडेट 3:

साइबरहूट ने एक नया मसौदा तैयार किया लास्टपास लेख: लास्टपास के लिए आखिरी सहारा प्रतिस्थापन पासवर्ड मैनेजर चुनने के लिए अलग से मानदंड निर्धारित किए गए हैं।

23 दिसंबर, 2022 अपडेट 2:

नग्न सुरक्षा है इस लेख लास्टपास ब्रीच पर अपनी राय विस्तार से बताते हुए और एन्क्रिप्टेड वॉल्ट चोरी होने की बात स्वीकार करते हुए। उनकी कुछ उपयोगी टिप्पणियाँ और जानकारियाँ हैं। इससे साइबरहूट को और सोचने पर मजबूर होना पड़ा...

हमने फॉर्म भरने में आसानी के लिए अपने क्रेडिट कार्ड की जानकारी लास्टपास में सेव कर ली थी। क्या हम अपने क्रेडिट कार्ड रद्द करके दोबारा जारी करेंगे? अब व्यक्तिगत रूप से कहूँ तो, मैं ऐसा नहीं करूँगा। मेरा मास्टर पासवर्ड इतना लंबा और जटिल था कि उसे क्रैक करने के लिए इस तरह के प्रयास करने पड़े। वेबसाइट का पासवर्ड स्ट्रेंथ मीटर था: 7 ​​क्वाड्रिलियन वर्ष वाह! यह तो राहत की बात है।

23 दिसंबर 2022: साइबरहूट लास्टपास उल्लंघन अपडेट:

लास्टपास ने 30 नवंबर को अपनी नवीनतम उल्लंघन घोषणा पर नई जानकारी जारी की, जिसमें उनकी निगरानी ने एक नए उल्लंघन (अगस्त में हुए उल्लंघन से संबंधित) की पहचान की। 12/22/2022 के इस अपडेट में, उन्होंने स्वीकार किया है कि उनका मानना ​​है कि 256-बिट AES एन्क्रिप्टेड क्लाइंट पासवर्ड वॉल्ट किसी तीसरे पक्ष से चुराए गए थे। यह पहली बार है जब उन्होंने स्वीकार किया है कि क्लाइंट डेटा खतरे में था। इस स्थिति पर उनकी राय इस प्रकार है:

22 दिसंबर, लास्टपास ब्लॉग अपडेट:  

"यदि आप ऊपर दी गई डिफ़ॉल्ट सेटिंग्स का उपयोग करते हैं, तो सामान्य रूप से उपलब्ध पासवर्ड-क्रैकिंग तकनीक का उपयोग करके आपके मास्टर पासवर्ड का अनुमान लगाने में लाखों वर्ष लग जाएँगे। आपका संवेदनशील वॉल्ट डेटा, जैसे उपयोगकर्ता नाम और पासवर्ड, सुरक्षित नोट्स, अटैचमेंट और फ़ॉर्म-फ़िल फ़ील्ड, लास्टपास के ज़ीरो नॉलेज आर्किटेक्चर के आधार पर सुरक्षित रूप से एन्क्रिप्टेड रहते हैं। इस समय आपको कोई अनुशंसित कार्रवाई करने की आवश्यकता नहीं है।"

हालाँकि, यह ध्यान रखना ज़रूरी है कि अगर आपका मास्टर पासवर्ड ऊपर दिए गए डिफ़ॉल्ट विकल्पों का इस्तेमाल नहीं करता है, तो उसे सही ढंग से अनुमान लगाने के लिए ज़रूरी प्रयासों की संख्या काफ़ी कम हो जाएगी। ऐसे में, एक अतिरिक्त सुरक्षा उपाय के तौर पर, आपको अपनी सेव की गई वेबसाइटों के पासवर्ड बदलकर जोखिम कम करने पर विचार करना चाहिए।

तो, आप सभी लास्टपास उपयोगकर्ताओं के लिए, या उन कंपनियों के लिए जिन्होंने अपने उपयोगकर्ताओं के लिए लास्टपास लागू किया है, इसका क्या मतलब है? वास्तव में, यह बहुत काम है।

साइबरहूट का प्रभाव आकलन:

हमारे कर्मचारी निम्नलिखित बातों को सत्य मानते हैं: पिछले दशक में हमने जिन लास्टपास वातावरणों का पर्यवेक्षण किया है, उनमें से अनेक में, हमारे प्रशिक्षण वीडियो और हमारी पासवर्ड नीतियों के बावजूद, जिनमें न्यूनतम 14 वर्णों वाले पासवर्ड की आवश्यकता होती है (लास्टपास डिफ़ॉल्ट से 2 वर्ण अधिक लंबे), हमने ऐसे कई मास्टर पासवर्ड देखे हैं जो कमज़ोर। इसलिए, सामान्य रूप से मजबूत पासवर्ड स्वच्छता की कमी को देखते हुए, लास्टपास से प्राप्त इस नई उल्लंघन जानकारी के लिए साइबरहूट को व्यक्तिगत रूप से या आपके व्यवसाय में लास्टपास का उपयोग करने वाले किसी भी व्यक्ति के लिए निम्नलिखित सिफारिशें करने की आवश्यकता है:

1. अपने उपयोगकर्ताओं को इस उल्लंघन के बारे में सूचित करें और निम्नलिखित बताएं: “आज ही अपने पासवर्ड की लंबाई गिनें। अगर आपने 12 अक्षरों से छोटा मास्टर पासवर्ड इस्तेमाल किया है, तो आपको आज ही अपना मास्टर पासवर्ड बदलना होगा।"
2. अगर आपका मास्टर पासवर्ड 12 या उससे ज़्यादा अक्षरों का था, तो भी आप नीचे दी गई सलाह मान सकते हैं, लेकिन हमें नहीं लगता कि यह 100% ज़रूरी होगा। आप नीचे दिए गए चरण 3.3 पर जा सकते हैं। हालाँकि, अगर आपका पासवर्ड छोटा था, खासकर 8 या 9 अक्षरों या उससे कम, तो चरण 3 पर जाएँ।
3. यदि आप उपरोक्त अनुशंसा #1 के कारण अपना मास्टर पासवर्ड बदल रहे हैं, तो भी ऐसा करें निम्नलिखित में से प्रत्येक:
   1. 1. नए मास्टर पासवर्ड को 14 से 20 अक्षरों का पासफ़्रेज़ बनाएँ! इसे देखें साइबरहूट पासवर्ड और पासफ़्रेज़ वीडियो उपयोगी सुझावों के लिए.
      2. अपने पासवर्ड वॉल्ट में संग्रहीत सभी महत्वपूर्ण खातों के पासवर्ड बदलें[नोट: हाँ, हम इस सुझाव पर सामूहिक आपत्ति सुन रहे हैं। फिर भी, इसे लागू करें।] कारण यह है कि यदि आपका पासवर्ड छोटा है और उसे ब्रूट-फोर्स किया जा सकता है, तो आपके सभी पासवर्ड खतरे में पड़ सकते हैं। लास्टपास हैकर्स द्वारा सैद्धांतिक रूप से आपके वॉल्ट को निशाना बनाने और आपके खाते को ब्रूट-फोर्स करने से पहले आपके पास बहुत कम समय है। इसलिए, सावधानी बरतते हुए, अपने सभी महत्वपूर्ण खातों के पासवर्ड को सुरक्षित रखने के लिए उन्हें बदल दें। [साइबरहूट टिप: यदि आपने अपना ईमेल पासवर्ड बहु-कारक प्रमाणीकरण (जिसे MFA भी कहा जाता है) से नहीं जोड़ा है, तो सबसे पहले उसे बदलें।
      3. अपने लास्टपास पासवर्ड वॉल्ट तक बहु-कारक पहुँच सक्षम करें.  एक ऑथेंटिकेटर ऐप का इस्तेमाल करें (ज़रूरी नहीं कि यह लास्टपास ऑथेंटिकेटर ही हो)। ऑथेंटिकेटर ऐप टेक्स्ट मैसेजिंग MFA से ज़्यादा सुरक्षित होते हैं।साइबरहूट नोट: MFA सक्षम होने से इस लास्टपास सेंधमारी में चोरी हुए वॉल्ट की सुरक्षा में कोई मदद नहीं मिलती। चोर केवल आपके द्वारा निर्धारित मास्टर पासवर्ड की ताकत (लंबाई) के आधार पर पासवर्ड वॉल्ट को चुराने की कोशिश करेंगे।]
4. यह कदम सभी के लिए है। सक्षम बहु-कारक प्रमाणीकरण (एमएफए), एक प्रमाणक ऐप का उपयोग करना, या यदि आप वास्तव में सुरक्षा के प्रति सजग हैं, तो Yubikey आपके सभी ऑनलाइन खातों पर, जो MFA का समर्थन करते हैं, हार्डवेयर टोकन लागू करें। इससे लास्टपास वॉल्ट में सेंध लगने पर भी आपके MFA-संरक्षित खातों के साथ छेड़छाड़ होने से बचा जा सकेगा। MFA आपका मित्र है। कभी-कभी यह कष्टदायक लग सकता है, लेकिन सच्चाई यह है कि छेड़छाड़ का दर्द कहीं ज़्यादा बुरा होता है।  आज ही ऐसा करें.

साइबरहूट लास्टपास व्यवहार्यता:  Q: क्या साइबरहूट को लगता है कि इस उल्लंघन और उनके द्वारा सामना किए गए पिछले उल्लंघनों को देखते हुए लास्टपास एक व्यवहार्य समाधान है?

उत्तर: हम आपके लिए इस प्रश्न का उत्तर नहीं दे सकते। साइबरहूट के लिए, हम लास्टपास का उपयोग जारी रखेंगे क्योंकि इस समय हम पूरी तरह से उन पर निर्भर हैं। हमारे मास्टर पासवर्ड 12 अक्षरों से कहीं अधिक लंबे हैं, जिससे हमारी तिजोरी की चोरी से हैकर्स को कुछ भी हासिल होने की संभावना नहीं है। इसके अलावा, लास्टपास के लिए यह प्रकरण जितना भी दर्दनाक रहा हो, यह पारदर्शिता और सुरक्षा के प्रति उनकी प्रतिबद्धता को दर्शाता है।  संभवतः उनके लिए इस घटना को दबा कर रखना कहीं अधिक आसान होता।  उन्होंने ऐसा नहीं किया। हम एक ऐसी कंपनी चाहते हैं जो पारदर्शी हो। गलतियाँ होने पर उन्हें स्वीकार करे। सुरक्षा घटनाओं को पकड़ने के लिए उन्नत निगरानी व्यवस्था हो (जैसा कि उन्होंने इस मामले में किया)। और ईमानदारी और खुले तौर पर इसकी रिपोर्ट करे। हम एक ऐसे बयान के साथ समाप्त करेंगे जिसका हवाला एफबीआई को लंबे समय से दिया जाता रहा है क्योंकि यह सभी कंपनियों और सभी पासवर्ड मैनेजर सॉफ़्टवेयर विक्रेताओं पर लागू होता है।

"इस दुनिया में दो तरह की कंपनियाँ हैं। एक वे जो जानती हैं कि उन्हें हैक कर लिया गया है, और दूसरी वे जो नहीं जानतीं कि उन्हें हैक कर लिया गया है।”

हमें पता है कि लास्टपास कब और कैसे हैक हुआ था। क्या हमें किसी और पासवर्ड मैनेजर विक्रेता के हैक होने के बारे में कुछ पता है?

पूर्ण पारदर्शिता:  साइबरहूट ने लास्टपास से किसी भी तरह, रेफ़रल प्रोग्राम या किसी और तरह से, एक पैसा भी नहीं कमाया है। हमने अपनी रिपोर्टिंग से दूरी बनाए रखने की चाहत में शायद हज़ारों डॉलर के रेफ़रल डॉलर छोड़ दिए हैं।

सूत्रों का कहना है:

नेकेड सिक्योरिटी का 23 दिसंबर का लेख लास्टपास ब्रीच पर

लास्टपास ब्लॉग में उल्लंघन और उनकी प्रतिक्रिया का विवरण

साइबरहूट के साथ आज ही अपना व्यवसाय सुरक्षित करें!!!

अभी साइनअप करें