أعلنت LastPass ، وهي خدمة لإدارة كلمات المرور ، يوم الخميس أن قراصنة سرقوا نسخًا مشفرة من كلمات مرور العملاء وبيانات حساسة أخرى مثل عناوين الفواتير وأرقام الهواتف وعناوين IP. هذا الإعلان هو آخر تحديث لخرق حدث في أغسطس. في ذلك الوقت ، قالت الشركة إنها لم تر أي دليل على أن المتسللين تمكنوا من الوصول إلى بيانات العملاء أو أقبية كلمات المرور المشفرة.
لكن بيان الشركة يوم الخميس قال إن شفرة المصدر والمعلومات التقنية التي سُرقت كجزء من هذا الاختراق استخدمت لاستهداف موظف آخر. تمكن المتسللون بعد ذلك من الحصول على بيانات اعتماد ومفاتيح للوصول إلى البيانات المخزنة على مساحة تخزين سحابية تابعة لجهة خارجية وفك تشفيرها.
لقد تمكنوا من نسخ أشياء مثل معلومات حساب العميل الأساسية ، بما في ذلك عناوين البريد الإلكتروني وعناوين IP التي وصل العملاء من خلالها إلى LastPass ، و “الحقول الحساسة المشفرة بالكامل مثل أسماء المستخدمين وكلمات المرور الخاصة بالموقع الإلكتروني والملاحظات الآمنة والبيانات المملوءة بالنماذج.”
تعد إدارة كلمات المرور وسيلة للعملاء لتخزين أسماء المستخدمين وكلمات المرور في مكان واحد ويمكن الوصول إليها باستخدام كلمة مرور رئيسية يقوم العميل بإنشائها. وقالت في بيانها إن كلمة المرور الرئيسية ليست معروفة لـ LastPass ولا يتم تخزينها أو الاحتفاظ بها من قبل الشركة.
وقالت الشركة إنه لا يمكن فك تشفير البيانات المشفرة الأخرى إلا “بمفتاح تشفير فريد مشتق من كلمة المرور الرئيسية لكل مستخدم”.
ومع ذلك ، حذر LastPass العملاء من إمكانية استهدافهم بالهندسة الاجتماعية أو محاولات التصيد الاحتيالي أو طرق أخرى.
وقالت الشركة في بيان: “قد يحاول ممثل التهديد استخدام القوة الغاشمة لتخمين كلمة مرورك الرئيسية وفك تشفير نسخ بيانات المخزن التي أخذوها”. “نظرًا لأساليب التجزئة والتشفير التي نستخدمها لحماية عملائنا ، سيكون من الصعب للغاية محاولة فرض تخمين كلمات المرور الرئيسية للعملاء الذين يتبعون أفضل ممارسات كلمات المرور لدينا.”
بالنسبة لأولئك الذين يتبعون إرشادات كلمة المرور الخاصة بـ LastPass ، “سيستغرق الأمر ملايين السنين لتخمين كلمة مرورك الرئيسية باستخدام تقنية تكسير كلمات المرور المتاحة بشكل عام ،” قالت الشركة.
لم يرد ممثل LastPass على الرسائل التي تطلب التعليق.
وقالت الشركة إنها استعانت بشركة الأمن السيبراني Mandiant للتحقيق في الانتهاك. وقالت أيضًا إنها تعيد بناء بيئة التطوير بأكملها من الصفر ، في إشارة إلى أن المتسللين شكلوا تمامًا أنظمة الشركة الحساسة.
قالت LastPass إن تحقيقاتها مستمرة ، وأنها أبلغت سلطات تطبيق القانون و “السلطات التنظيمية ذات الصلة”.
© بلومبرج إل بي 2022