لاست پاس LastPass

تحذير في 26 آب/أغسطس 2022 أعلنت شركة LastPass عن تعرض خادماتها لاختراق. أعلنت الشركة أن المخترقين استطاعوا الوصول إلى خازن Repository الكود المصدري Source Code لتطبيقات وخدمات LastPass دون أن تفصح بالمزيد من المعلومات، على الرغم من تواجد شبهات كثيرة بأن الاختراق كان أكثر نجاعة وأثرا. انتقد الباحثون والباحثات في مجال الأمن الرقمي قلة الشفافية فيما يتعلق بهذا الحدث في حين أعلنت الشركة حينها أن التحقيقات مازالت مستمرة. بعد مرور عدة شهور، أعلن المدير التنفيذي للشركة Karim Toubba في منشور له على الموقع الرسمي للشركة بتاريخ 23 كانون الأول/ديسمبر 2022 عن تفاصيل إضافية تتعلق بحادث الاختراق، حيث أعلن أن المخترقين قد وصلوا في الحقيقة إلى سواقات التخزين الخاصة بالشركة وقواعد بياناتهم والنسخ الاحتياطية واستطاعوا أخذ نسخ عن "خزنات" كلمات السرّ المشفرة Encrypted Password Vaults الخاصة بالزبائن وعن البيانات الوصفية meta-data المرتبطة بها والتي تضمنت بيانات شخصية مثل الاسم والعنوان ورقم الهاتف وأرقام وبيانات بطاقات الائتمان الخاصة بالعملاء. وقد يبدو للوهلة الأولى أن وصول الخازنات المشفرة ليد المهاجمين ليس بالمشكلة الكبيرة بسبب أنها مشفرة. لكن في الحقيقة تبين أن شركة LastPass قد أهملت فرض كلمات سرّ طويلة على عملاء الشركة القدامى، كما أنها لم تقم باستخدام أفضل معايير خوارزميات التشفير لجميع العملاء كما كان يتوجب، وبالتالي فإن الخطر على انكشاف كلمات سرّ مستخدمي خدمة LastPass الذين لم يستخدموا كلمة سرّ جيدة لحماية خزنتهم، هذا بالإضافة لتسرب البيانات الشخصية التي أصابت الجميع، بما فيهم المشتركون القدامى في الشركة.

لذلك وبسبب الاهمال والتراخي الذي أبدته الشركة في تطبيق وفرض أفضل معايير التشفير ننصح بالتوقف عن استخدام هذه الخدمة وننصح المستخدمين لهذه الخدمة بالانتقال لخدمة ثانية مثل خدمة بيت واردن Bitwarden. كما ننصح المستخدمين الذين يخشون انكشاف كلمات السرّ الخاصة بهم المخزنة في خزنة LastPass والتي لا يثقوا بجودة كلمة سرّها، بتغيير جميع كلمات السرّ المخزنة ضمن الخزنة على وجه السرعة.

للمزيد حول الموضوع: LastPass Admits to Severe Data Breach, Encrypted Password Vaults Stolen