بارها گفتهایم که امنیت به معنای واقعی بسیار ضعیفتر از چیزی است که در ظاهر انتظار آن را داریم، این موضوع در چند وقت اخیر با چندین هک و نفوذ گسترده در مایکروسافت، انویدیا، سامسونگ و اکنون در لست پس به خوبی قابل مشاهده است. هک شدن LastPass موضوعی است که اصلا انتظار آن را نداشتیم اما حالا هکرها به بزرگترین سیستم مدیریت رمز عبور در جهان نفوذ کردند. با ترنجی همراه باشید.
سیستمهای مدیریت رمز عبور به ما کمک میکنند تا رمزهای عبور خود را ایمن نگه داریم. بنابراین، آنها نباید به دیگران اجازه دسترسی به دادههای کاربران خود را بدهند. اما اگر سیستم مدیریت رمز عبور مورد اعتماد ما هک شود چه؟ اخیرا اتفاقی مشابه با LastPass افتاده است. این برنامه، یک سیستم مدیریت رمز عبور فریمیوم (ویژه و رایگان) با بیش از ۳۳ میلیون کاربر در سراسر جهان است.
افرادی که از این سرویس استفاده میکنند، میتوانند رمزهای عبور خود را در قالب رمزگذاری شده ذخیره کنند. با این حال، اخیرا تیم مدیریت این افزونه گفته است که احتمالا هکرها توانستهاند به پایگاه داده آنها دسترسی پیدا کند و کد منبع و اطلاعات اختصاصی آن را سرقت نمایند. آیا این بدان معناست که رمز عبور این ۳۳ میلیون کاربر به سرقت رفته است؟! البته که این شرکت میگوید نه.
بر اساس یک پست وبلاگ، لست پس گفته است که هکرها توانستهاند به محیط توسعه دهنده آنها نفوذ کنند. به عبارت ساده، اینجا جایی است که توسعه دهندگان LastPass محصول را ساخته و نگهداری میکنند. بنابراین، توسعه دهندگان تمام بهینه سازیهای نرم افزاری و عملیات back-end خود را در اینجا پیاده سازی میکنند. اگرچه این شرکت معتقد است که هکرها رمزهای عبور ذخیره شده در این پایگاه داده را سرقت نکردهاند، اما ما حدس میزنیم که آنها این کار را کردهاند. حداقل، هنوز هیچ شکایتی از سوی کاربران این سرویس وجود ندارد.
اما با این حال برای بسیاری از کاربران سوال شده است که چه اتفاقی در LastPass افتاده است. تیم توسعه دهنده گفته است که دو هفته پیش، ما برخی از فعالیتهای غیر عادی را در بخشهایی از محیط توسعه LastPass شناسایی کردیم. پس از شروع تحقیقات فوری، ما هیچ مدرکی مبنی بر اینکه این حادثه شامل هرگونه دسترسی به دادههای مشتری یا مخازن رمز عبور رمزگذاری شده باشد، ندیدهایم.
به گفته وب سایت خبری GizChina، تیم توسعه این سیستم مدیریت رمز عبور هنوز به زمان بیشتری برای تجزیه و تحلیل و درک آنچه اتفاق افتاده است، نیاز دارد. تعیین کامل میزان آسیبی که ممکن است در نتیجه این حمله صورت گرفته باشد، زمان زیادی می برد. با این حال، در حال حاضر، به نظر میرسد که این رخداد تاثیری بر مشتریان و کاربران این سیستم نداشته باشد.
لازم به ذکر است، نباید این احتمال را رد کنیم که هکرها احتمالا میتوانند از طریق کد منبع به سرقت رفته و اطلاعات اختصاصی، به رمزهای عبور کاربران دسترسی پیدا کنند. اما برخی از کارشناسان گفتهاند که کمتر ممکن است که کد منبع دزدیده شده و اطلاعات اختصاصی به هکرها کمک کند تا به رمزهای عبور کاربر دسترسی پیدا کنند. در هر صورت توصیه ترنجی این است که حتیالامکان Master Password یا رمز اصلی Vault خود را تغییر دهید.
