در تاریخ ۳۰ نوامبر ۲۰۲۲، Karim Toubba، مدیر عامل لستپس تایید کرد که قسمتی از دادههای مشتریان تحت دسترسی عامل غیرمجاز بوده است. در تاریخ ۲۲ دسامبر ۲۰۲۲، زمانی که کارمندها برای تعطیلات کریسمس آماده میشدند، Toubba اعلام کرد که این قسمتی از دادههای مشتریان در واقع پسوردهای رمزگذاری شده مشتریان است.
بعد از چندین اعلانیه لستپس بالاخره تایید کرد که این عامل غیرمجاز یک کپی از فایل بکآپ کیف دادههای مشتریان را در اختیار دارد. به این معنی که هکرها به تمام پسوردهای مشتریان دسترسی دارند، البته اگر بتوانند کیف دادهها را کرک کنند.
اگر شما هم از کاربران لستپس هستید، یا قبلا روی LastPass حساب داشتید و تا قبل از پاییز ۲۰۲۲ آن را حذف نکردهاید، احتمالا کیف پسوردهای شما هم در دست هکرهاست. طبق آخرین اعلانیه لستپس، مشتریان این شرکت امن هستند اگر کلید اصلی (Master Key) قدرتمندی را برای حسابشان ایجاد کرده بودند. یعنی اگر مشتریان کلید اصلی ضعیفی دارند و یا کلید اصلیشان را قبلا بعنوان پسورد در حسابهای دیگر استفاده کردهاند (امنیت آن را کاهش دادهاند) در معرض خطر جدیای هستند.
قابل ذکر است که هک lastpass در واقع در ماه آگوست ۲۰۲۲ رخ داده، در تاریخ ۳۰ نوامبر اعلام شد که در این هک بخشی از دادههای مشتریان نیز به خطر افتاده است. طبق گفته LastPass در ماه آگوست این شرکت هنوز اطلاع نداشتند که دادههای مشتریان نیز به خطر افتاده است یا خیر.
همانطور که بالاتر نوشتیم هکر توانسته یک کپی از کیف دادههای مشتریان را در اختیار داشته باشد. کیف داده مشتریان شامل دادههای رمزنگاری شده و همچنین رمزنگاری نشده است. از جمله دادههایی که بصورت متن ساده ذخیره شده URL وبسایتهایی است که مشتریان در کیف رمزعبور خود ذخیره میکنند. سایر دادههایی که بصورت رمزنگاری شده اکنون در دست هکرها هستند نیز شامل: نام کاربری، رمزعبور، یادداشتها، نام پوشهها و غیره است.
تنها راهی که هکرها میتوانند به دادههای رمزنگاری شده مشتریان دست پیدا کنند، بدست آوردن کلید اصلی مشتری یا همان MasterKey است. یکی از متداولترین راهها برای بدست آوردن کلید اصلی هم حمله بروتفورس است. لستپس اعلام کرده که اگر مسترکی مشتریان قدرتمند باشد، جای نگرانی نیست! اما اعلام نکردهاند که ویژگی بخصوصی در لستپس است که جلوی تلاش برای کرک کردن کلید اصلی را بگیرد. بهعلاوه اینکه ممکن است کاربری قبلا از کلید اصلی خودش در حسابهای دیگر استفاده کرده باشد. در اینصورت هنگام درز اطلاعات یکی از همین سرویسها یا وبسایتها، کلید اصلی حساب لستپس این کاربر نیز درز پیدا میکند.
قابل ذکر است که اگر حساب لستپستان قدیمی است (قبل از ۲۰۱۸) از گزینههای نه چندان قوی برای ایجاد رمزعبور استفاده کرده بودید. شاید نکته نگران کنندهتر در هک لستپس این باشد که URL ها رمزنگاری نشده ذخیره شدهاند. بدینصورت هکرها براحتی میتوانند با بررسی آدرس وبسایتها مخاطبان خودشان را انتخاب کنند، حتی میتوانند از این برای حمله فیشینگ هم استفاده کنند.
اگر از کاربران لستپس هستید، توصیه میکنیم در وهله اول تمام رمزعبورهایی که در حسابتان داشتهاید را تغییر دهید، اگر همچنان میخواهید lastpass بعنوان ابزار مدیریت رمزعبور استفاده کنید، در قدم بعدی کلید اصلیتان را بررسی کنید مطمئن شوید قدرتمند است: جایی قبلا استفاده نکردهاید، بیش از ۱۶ حرف دارد، تصادفی است و شامل حروف بزرگ، کوچک، اعداد و حروف خاص است. اگر به قدرتمند بودن کلید اصلی شک دارید، حتما آن را با یک رمزعبور قدرتمند جایگزین کنید. همچنین مراقب حملات فیشینگ نیز باشید.