/cdn.vox-cdn.com/uploads/chorus_asset/file/23262657/VRG_Illo_STK001_B_Sala_Hacker.jpg)
LastPass मा एक को doozy छ अद्यावधिक घोषणा भर्खरैको डाटा उल्लंघनको बारेमा: कम्पनी – जसले तपाइँको सबै पासवर्डहरू एकै सुरक्षित स्थानमा राख्ने वाचा गर्दछ – अब ह्याकरहरूले “ग्राहक भल्ट डाटाको ब्याकअप प्रतिलिपि” गर्न सक्षम थिए भनेर भनिरहेका छन्। यदि तिनीहरूले चोरी भल्टहरू क्र्याक गर्न सक्छन् (मार्फत TechCrunch)।
यदि तपाइँसँग LastPass मा पासवर्ड र लगइन जानकारी भण्डारण गर्न प्रयोग गर्ने खाता छ, वा तपाइँसँग एउटा थियो र यो पतन अघि मेटाउनु भएको थिएन भने, तपाइँको पासवर्ड भल्ट ह्याकरहरूको हातमा हुन सक्छ। तैपनि, कम्पनीले दाबी गर्छ कि यदि तपाईंसँग बलियो मास्टर पासवर्ड र यसको सबैभन्दा हालको पूर्वनिर्धारित सेटिङहरू छन् भने तपाईं सुरक्षित हुन सक्नुहुन्छ। यद्यपि, यदि तपाइँसँग कमजोर मास्टर पासवर्ड वा कम सुरक्षा छ भने, कम्पनी भन्छ कि “अतिरिक्त सुरक्षा उपायको रूपमा, तपाइँले भण्डारण गर्नुभएका वेबसाइटहरूको पासवर्डहरू परिवर्तन गरेर जोखिम कम गर्न विचार गर्नुपर्छ।”
यसको मतलब तपाईले LastPass लाई भण्डारण गर्न विश्वास गर्नुहुने प्रत्येक वेबसाइटको पासवर्डहरू परिवर्तन गर्नु हो।
जबकि LastPass ले पासवर्डहरू अझै पनि खाताको मास्टर पासवर्डद्वारा सुरक्षित छन् भन्ने कुरामा जोड दिन्छ, तर यसले यी खुलासाहरूलाई कसरी ह्यान्डल गरेको छ भनेर यस बिन्दुमा यसको शब्द लिन गाह्रो छ।
जब कम्पनीले अगस्टमा उल्लङ्घन भएको घोषणा गरियो, यसले प्रयोगकर्ता डेटा पहुँच भएको विश्वास गर्दैन भन्यो। त्यसपछि, नोभेम्बरमा, LastPass ले भन्यो घुसपैठ पत्ता लाग्यो, जुन स्पष्ट रूपमा अगस्ट घटनामा चोरी भएको जानकारीमा भर परेको थियो (अगस्ट र नोभेम्बरको बीचमा त्यो सम्भावनाको बारेमा सुन्न पाउँदा राम्रो हुन्थ्यो)। त्यो घुसपैठले कसैलाई ग्राहक जानकारीको “केही तत्वहरूमा पहुँच प्राप्त गर्न” अनुमति दिन्छ। यो बाहिर जान्छ कि ती “निश्चित तत्वहरू” थिए, तपाईंलाई थाहा छ, LastPass भण्डारण गर्ने सबैभन्दा महत्त्वपूर्ण र गोप्य चीजहरू। कम्पनी भन्छ कि “कुनै पनि प्रमाण छैन कि कुनै पनि एन्क्रिप्टेड क्रेडिट कार्ड डाटा पहुँच गरिएको थियो,” तर यो सम्भवतः ह्याकरहरूले वास्तवमा छुटेको भन्दा राम्रो हुने थियो। कम्तिमा एक वा दुई कार्ड रद्द गर्न सजिलो छ।
क्लाउड भण्डारणबाट ग्राहकहरूको भल्टहरूको ब्याकअप प्रतिलिपि गरियो
हामी कसरी यो सबै थोरैमा तल गयो भन्ने कुरामा पुग्ने छौं, तर यहाँ के छ LastPass CEO करिम Toubba ले भल्टहरू बारे के भनिरहेका छन्:
खतरा अभिनेताले एन्क्रिप्टेड भण्डारण कन्टेनरबाट ग्राहक भल्ट डाटाको ब्याकअप प्रतिलिपि गर्न सक्षम थियो जुन स्वामित्व बाइनरी ढाँचामा भण्डार गरिएको छ जसमा दुबै अनइन्क्रिप्टेड डाटा, जस्तै वेबसाइट URL हरू, साथै। पूर्ण-इन्क्रिप्टेड संवेदनशील क्षेत्रहरू जस्तै वेबसाइट प्रयोगकर्ता नाम र पासवर्डहरू, सुरक्षित नोटहरू, र फारम भरिएको डाटा।
Toubba भन्छन् कि एक मालिसियस अभिनेताले त्यो ईन्क्रिप्टेड डाटा प्राप्त गर्न सक्षम हुनेछ, र त्यसैले तपाइँको पासवर्ड, तपाइँको मास्टर पासवर्ड संग हुनेछ। LastPass ले मास्टर पासवर्डहरूमा कहिल्यै पहुँच गरेको छैन भन्छ।
त्यसैले उहाँ भन्नुहुन्छ, “जबसम्म तपाईंसँग धेरै राम्रो मास्टर पासवर्ड छ जुन तपाईंले कहिल्यै पुन: प्रयोग गर्नुभएन (र बाटोमा केही प्राविधिक त्रुटि नभएसम्म) जबसम्म मास्टर पासवर्डहरू बलपूर्वक अनुमान लगाउने प्रयास गर्न धेरै गाह्रो हुन्छ। LastPass ले डाटा ईन्क्रिप्ट गर्यो – यद्यपि कम्पनीले केहि बनाएको छ पहिले धेरै आधारभूत सुरक्षा त्रुटिहरू)। तर जो कोहीसँग यो डाटा छ उसले अनियमित पासवर्डहरू, AKA brute-forcing अनुमान गरेर यसलाई अनलक गर्ने प्रयास गर्न सक्छ।
LastPass भन्छ कि यसको सिफारिस गरिएको पूर्वनिर्धारित प्रयोग गरेर गर्नुपर्छ तपाइँलाई त्यस प्रकारको आक्रमणबाट जोगाउनुहोस्, तर यसले कुनै पनि प्रकारको सुविधाको उल्लेख गर्दैन जसले कसैलाई दिन, महिना वा वर्षसम्म भल्ट अनलक गर्न बारम्बार प्रयास गर्नबाट रोक्न सक्छ। त्यहाँ सम्भावना पनि छ कि मानिसहरूको मास्टर पासवर्डहरू अन्य तरिकामा पहुँचयोग्य छन् – यदि कसैले अन्य लगइनहरूको लागि आफ्नो मास्टर पासवर्ड पुन: प्रयोग गर्दछ भने, यो अन्य डाटा उल्लंघनको समयमा बाहिर निस्किएको हुन सक्छ।
यो पनि ध्यान दिन लायक छ कि यदि तपाईंसँग पुरानो खाता छ (2018 पछि पेश गरिएको नयाँ पूर्वनिर्धारित सेटिङ अघि), तपाईंको मास्टर पासवर्ड सुरक्षित गर्न कमजोर पासवर्ड-सुदृढीकरण प्रक्रिया प्रयोग गरिएको हुन सक्छ। LastPass को अनुसार, यसले हाल “पासवर्ड-आधारित कुञ्जी व्युत्पन्न प्रकार्यको 100,100 पुनरावृत्तिहरूको एक बलियो-सामान्य कार्यान्वयन” प्रयोग गर्दछ, तर जब किनारा कर्मचारी सदस्यले आफ्नो पुरानो खाता प्रयोग गरेर जाँच गरे एउटा लिङ्क कम्पनीले आफ्नो ब्लगमा समावेश गरेको छ, यसले उनीहरूलाई आफ्नो खाता 5,000 पुनरावृत्तिमा सेट गरिएको बताएको छ।
सायद अधिक सम्बन्धित बिट अनइन्क्रिप्टेड डाटा हो – यसमा URL हरू समावेश छन्, यसले ह्याकरहरूलाई तपाइँसँग कुन वेबसाइटहरूमा खाताहरू छन् भन्ने बारे एक विचार दिन सक्छ। यदि तिनीहरूले विशेष प्रयोगकर्ताहरूलाई लक्षित गर्ने निर्णय गरे भने, त्यो शक्तिशाली जानकारी हुन सक्छ जब फिसिङ वा अन्य प्रकारका आक्रमणहरूसँग जोडिन्छ।
यदि म LastPass ग्राहक हुँ भने, म कसरी कम्पनीले यो जानकारी खुलासा गरेकोमा खुसी हुनेछैन
जबकि ती मध्ये कुनै पनि राम्रो समाचार होइन, यो सबै कुरा हो जुन सिद्धान्तमा, क्लाउडमा गोप्य भण्डारण गर्ने कुनै पनि कम्पनीमा हुन सक्छ। साइबरसुरक्षामा, खेलको नाममा १०० प्रतिशत सही ट्र्याक रेकर्ड छैन; प्रकोपहरू हुँदा तपाईंले कस्तो प्रतिक्रिया देखाउनुहुन्छ।
र यो जहाँ LastPass, मेरो विचारमा, बिल्कुल असफल भएको छ।
याद गर्नुहोस्, यो घोषणा आज, डिसेम्बर 22 मा गर्दैछ – क्रिसमस भन्दा तीन दिन अघि, एक समय जब धेरै IT विभागहरू बिदामा हुनेछन्, र जब मानिसहरूले आफ्नो पासवर्ड प्रबन्धकबाट अद्यावधिकहरूमा ध्यान दिइरहेका छैनन्।
(साथै, घोषणाले भल्टहरू नक्कल गर्ने बारे भागमा पुग्दैन पाँच अनुच्छेद मा। र केहि जानकारी बोल्ड भएको बेला, मलाई लाग्छ कि यस्तो ठूलो घोषणा एकदम शीर्षमा हुनेछ भन्ने आशा गर्नु उचित छ।)
LastPass भन्छ कि भल्ट ब्याकअप सुरुमा अगस्तमा सम्झौता गरिएको थिएन; यसको सट्टा, यसको कथा यो हो कि धम्की अभिनेताले तेस्रो-पक्ष क्लाउड भण्डारण सेवामा पहुँच भएको कर्मचारीलाई लक्षित गर्न त्यो उल्लंघनबाट जानकारी प्रयोग गर्यो। भल्टहरू भण्डार गरिएको थियो र त्यस क्लाउड भण्डारणमा पहुँच गरिएको भोल्युमहरू मध्ये एकबाट प्रतिलिपि गरिएको थियो, साथै “आधारभूत ग्राहक खाता जानकारी र सम्बन्धित मेटाडेटा” समावेश ब्याकअपहरू। यसमा “कम्पनी नामहरू, अन्तिम प्रयोगकर्ता नामहरू, बिलिङ ठेगानाहरू, इमेल ठेगानाहरू, टेलिफोन नम्बरहरू, र आईपी ठेगानाहरू जसबाट ग्राहकहरूले LastPass सेवा पहुँच गरिरहेका थिए” जस्ता चीजहरू समावेश गर्दछ, LastPass अनुसार।
Toubba भन्छन् कि कम्पनीले प्रारम्भिक उल्लङ्घनको परिणामको रूपमा सबै प्रकारका सावधानीहरू लिइरहेको छ, र ब्याकअपहरू पर्दाफास गर्ने माध्यमिक उल्लङ्घन, भविष्यमा शंकास्पद गतिविधि पत्ता लगाउन थप लगिङहरू थप्ने, यसको विकास वातावरण पुनर्निर्माण, प्रमाणहरू घुमाउने, र थप सहित।
त्यो सबै राम्रो छ, र यो ती चीजहरू गर्नुपर्छ। तर यदि म LastPass प्रयोगकर्ता हुँ भने, म यस बिन्दुमा कम्पनीबाट टाढा जान गम्भीर रूपमा विचार गर्नेछु, किनकि हामी यहाँ दुई मध्ये एउटा परिदृश्य हेर्दैछौं: या त कम्पनीलाई थाहा थिएन कि प्रयोगकर्ताहरूको भल्टहरू समावेश ब्याकअपहरू सक्रिय छन्। क्लाउड भण्डारण सेवाले नोभेम्बर 30, वा यो त्यहाँ असामान्य गतिविधि पत्ता लगाएको घोषणा गर्दा गरे थाहा छ र ह्याकरहरूले उनीहरूमा पहुँच प्राप्त गरेको सम्भावनाको बारेमा ग्राहकहरूलाई नबताउने छनौट गर्नुभयो। ती मध्ये कुनै पनि राम्रो लुक छैन।