مدتی پیش خبری نگران کننده مبنی بر حمله هکرها به سرویس نگهداری رمزهای عبور کاربران، یعنی LastPass منتشر شد از آن جایی که این سرویس بسیار محبوب و پر استفاده است، نگرانی زیادی در کاربران آن به وجود آمد. گویا اکنون هم مشکلات امنیتی سرویس LastPass همچنان پابرجاست و باید رمز عبور خود را تغییر دهید. با ترنجی همراه شوید.
در یطن مطلب یک خبر خوب و یک خبر بد داریم. خبر خوب این است که تلاش هکرها برای هک کردن LastPass در سال جاری منجر به سرقت اطلاعات کاربران نشد. خبر بد نیز این است که با این حال، این حمله به هکرها اجازه داد تا برخی از اطلاعات مهم دیگر را سرقت کنند که آنها را قادر میسازد تا یک کاربر LastPass را به سادگی هدف قرار دهند و از طریق آن، به دادههای وی دسترسی پیدا کرده و آن را سرقت کنند. باید LastPass را به دلیل شفاف ماندن (طبق وعدههای خود) و همچنین به اشتراک گذاری این موضوع از طریق پست وبلاگی این شرکت تحسین کنیم.
در حالی که مدیریت این مشکل توسط این سرویس به خوبی پیش رفته است، اما همچنان مطمئن هستیم که وضعیت برای آنها نیز دشوار است. در حالی که هکرها هیچ اطلاعات خاصی را سرقت نکردهاند (مانند اطلاعات بهروز که به صورت روزمره توسط سرورهای LastPass ذخیره و استفاده می شود) اما آنها به بخش پشتیبان گیری این سرویس دست پیدا کردهاند. از آنجایی که اکثر مردم عادت به تغییر تصادفی رمزهای عبور خود ندارند، در بیشتر موارد احتمالا این پشتیبانها حاوی اطلاعات مرتبط هستند. در ادامه لیستی از انواع اطلاعاتی که بازیابی آنها تایید شده است آمده است:
نام شرکت و نام کاربری
آدرسهای صورتحساب
ایمیلها
شمارههای موبایل
آدرسهای IP
کافی است بگوییم که در برخی موارد شخص ثالث، کاربران ممکن است بسته کاملی از اطلاعاتان کاربران را در اختیار داشته باشد. این موضوع اصلا خوب نیست اما در مورد نامهای کاربری و رمز عبور و انواع اصلی دادهها که این شرکت مدیریت میکند، چطور؟ اینطور که پیداست، این موارد نیز به سرقت رفتهاند. با این حال، فایلهای مربوط به آن رمزگذاری شده باقی میمانند. این بدان معناست که به لطف معماری Zero Knowledge LastPass، هکرها تا زمانی که رمز عبور اصلی شما را ندانند، نمیتوانند هیچ یک از آنها را کشف کنند.
برای ایمن نگه داشتن حساب LastPass خود چه کاری باید انجام دهم؟
در این وضعیت کنونی، فقط و فقط باید یک کار انجام دهید و آن هم این است که رمز عبور اصلی LastPass خود را تغییر دهید و مطمئن شوید که به بهترین شیوههای مربوط به رمز عبور که این شرکت به اشتراک گذاشته است، پایبند باشید. همانطور که این شرکت ادعا کرده است، اگر از این روشها استفاده کنید، هکرها به میلیونها سال زمان نیاز دارند تا رمزهای عبور شما را با استفاده از فناوری جدید خود حدس بزنند که این موضوع میتواند آنها را از انجام این کار نا امید کند.
کار مهم دیگری که باید انجام دهید این است که مراقب مهندسی اجتماعی یا تلاشهای مرتبط با فیشینگ باشید، حتی اگر رمز عبور خود را تغییر داده باشید، هکرها اغلب ایمیلها یا پیامهایی میفرستند و سعی میکنند شما را متقاعد کنند که اطلاعات ورود خود را به آنها بدهید و یا از طریق ایجاد فشار برای اشتراک گذاری اطلاعات شما تلاش میکنند.
این یادآوری لازم به ذکر است که هیچ شرکت معتبری، هرگز چنین کاری نمیکند و نیاز به رمز عبور کاربران خود ندارد. اگر پیامی با چنین مضمونی دریافت کردید که از شما رمز عبور یا ایمیلتان خواسته شده بود، باید معتر بودن آنها را زیر سوال ببرید و یک راه مناسب برای اطمینان یافتن، بررسی مجدد ایمیلهای آنها است. به عنوان مثال، اگر افرادی به اسم بانک با شما تماس گرفتتند و اطلاعات بانکی شما را درخواست کردند، شک نکنید که این افراد هکرها هستند و قصد دارند با به کار بستن چنین ترفندی، شما رو گول بزنند. بنابراین تماس یا ایمیل چنین افرادی را پاسخ ندهید، حتی اگر تاکید زیادی بر موضوعاتی خاص داشتند.
به گفته PhoneArena، با توجه به اینکه دسامبر امسال شبیه به تکرار حوادث دسامبر سال گذشته است (زمانی که کاربران LastPass شاهد تلاشهای عجیبی برای ورود به حساب کاربری خود توسط افرادی ناشناخته بودند) باید بپرسیم که این شرکت برای جلوگیری از حوادث ناگوار آینده چه خواهد کرد؟ آنها در این مورد نیز شفاف بودهاند. صادقانه بگویم، آنها بهترین کار ممکن را انجام میدهند، یعنی حذف هر چیزی که به دانش دزدیده شده مربوط میشود و بازسازی یک سیستم کاملا جدید و از ابتدا تا انتها با مکانیسمهای حفاظتی و هشدار پیشرفتهای همراه است.
کریم توبا، مدیر عامل LastPass اظهار داشت که در حال حاضر نیازی به اقدام بیشتر نیست. آنها حتی تا آنجا پیش میروند که گفتهاند اگر رمز عبور اصلی فعلی شما با بهترین روشهای ذکر شده مطابقت دارد، میتوانید بدون تغییر آن از لست پس استفاده کنید. اما، اگرچه ماهیت زندگی به گونهای است که چیزهای کمی در طول زمان ثابت میمانند، یک چیز همیشه انجام میدهد: ایمنی بهتر از پشیمانی است. ما قویا توصیه میکنیم که با نحوه ساخت یک رمز عبور قوی آشنا شوید و از آن برای تامین امنیت خود استفاده کنید. نظر شما درباره مشکلات امنیتی سرویس LastPass چیست؟!
