लास्टपास को तीन महीने में दूसरी बार हैक किया गया है। इसका उपयोग दुनिया भर में 30 मिलियन से अधिक लोगों द्वारा किया जाता है। पासवर्ड प्रबंधक लास्टपास ने स्वीकार किया है कि हैकर्स ने उपयोगकर्ता पासवर्ड और अन्य संवेदनशील डेटा की एन्क्रिप्टेड प्रतियां चुरा ली हैं, जिसमें उपयोगकर्ता के बिलिंग पते, फोन नंबर और आईपी पते शामिल हैं। सबसे पहले, सिस्टम को अगस्त में नवंबर के अंत में वापस हैक किया गया था - दिसंबर की शुरुआत में, डेटा चोरी होने की जानकारी दिखाई दी, और अब कंपनी के ब्लॉग ने विवरण प्रकाशित किया है।
पासवर्ड मैनेजर लास्टपास को हैक कर लिया गया है, जो खुद हैकर्स के लिए बहुत सफल साबित हुआ, वे उपयोगकर्ता के डेटा तक पहुंचने में कामयाब रहे, लेकिन यह अभी तक ज्ञात नहीं है कि वास्तव में क्या है। यह संभावना है कि अब उनके पास उन पासवर्डों तक पहुंच है जो सेवा के उपयोगकर्ता अपने प्रोफाइल में स्टोर करते हैं।
लास्टपास हैक होने और उपयोगकर्ता डेटा से समझौता होने की जानकारी की पुष्टि स्वयं सेवा के प्रतिनिधियों ने भी की थी। हालांकि, वे ध्यान से रिसाव की सीमा और हमलावरों के हाथों समाप्त होने वाली जानकारी की प्रकृति दोनों को छिपाते हैं, इसलिए अब बिना किसी अपवाद के सभी लास्टपास उपयोगकर्ता, जो दुनिया भर में लाखों लोग हैं, जोखिम में हैं। अर्थवेब पोर्टल के अनुसार, अक्टूबर 2022 तक, लास्टपास उपयोगकर्ता आधार की संख्या 33 मिलियन थी।
जब तक सामग्री जारी की गई, तब तक लास्टपास के प्रतिनिधियों ने पुष्टि नहीं की, लेकिन अपने व्यक्तिगत ऑनलाइन स्टोरेज में स्थित उपयोगकर्ताओं के पासवर्ड के लीक होने से इनकार नहीं किया। हालाँकि, हैकर के हमले के ठीक ऐसे परिणाम का जोखिम होता है। इसके अलावा, इस तथ्य को ध्यान में रखते हुए कि लास्टपास ने अपने अस्तित्व के 14 वर्षों में एक से अधिक बार पासवर्ड लीक होने की अनुमति दी है, इस मामले में जोखिम अधिक है।
मैं क्या करूँ?
सबसे पहले उपयोगकर्ताओं को यह देखने की ज़रूरत है कि क्लाउड में कौन से पासवर्ड संग्रहीत हैं और हमलावरों को विशेष रूप से प्राप्त करने से पहले उन्हें जितनी जल्दी हो सके बदल दें। कई लोग, उदाहरण के लिए, ऐसे प्रबंधकों में इंटरनेट बैंक या कॉर्पोरेट ई-मेल से पासवर्ड सहेजते हैं।
दूसरा कदम यह है कि यदि लास्टपास के लिए प्रतिस्थापन नहीं है, तो कम से कम एक बैकअप पासवर्ड मैनेजर उन लोगों में से है जो ऑफ़लाइन काम करते हैं। ऐसे प्रोग्राम पासवर्ड के डेटाबेस को सीधे उपयोगकर्ता के डिवाइस (अक्सर एन्क्रिप्टेड रूप में) पर संग्रहीत करते हैं, जो इसकी सामग्री के लीक होने के जोखिम को काफी कम कर देता है।
पासवर्ड प्रबंधक उपयोगकर्ताओं को अपने उपयोगकर्ता नाम और पासवर्ड को एक ही स्थान पर विभिन्न साइटों पर स्टोर करने की अनुमति देते हैं - उपयोगकर्ता द्वारा बनाए गए मास्टर पासवर्ड से एक्सेस किया जा सकता है। लास्ट पास मास्टर पासवर्ड को स्टोर या डिस्पोज नहीं करता है। अन्य एन्क्रिप्टेड डेटा को केवल "उपयोगकर्ता के मास्टर पासवर्ड से प्राप्त अद्वितीय एन्क्रिप्शन कुंजी" का उपयोग करके पुनर्प्राप्त किया जा सकता है। हालांकि, कंपनी ने ग्राहकों को आगाह किया कि वे सोशल इंजीनियरिंग, फिशिंग और सूचना प्राप्त करने के अन्य तरीकों के शिकार हो सकते हैं। इसके अलावा, हैकर्स मास्टर पासवर्ड प्राप्त करने और एन्क्रिप्टेड स्टोरेज में स्थित अन्य डेटा को डिक्रिप्ट करने के लिए एक क्रूर बल के हमले का उपयोग कर सकते हैं। हालांकि, लास्टपास का दावा है कि सार्वजनिक रूप से उपलब्ध हैकिंग तकनीकों का उपयोग करके पासवर्ड का अनुमान लगाने में हमलावरों को "लाखों साल" लगेंगे।
कंपनी ने कहा कि मैंडिएंट, एक कंपनी जो साइबर सुरक्षा प्रदान करती है, इस घटना की जांच कर रही है, और लास्टपास खुद ही पूरी तरह से पूरे कामकाजी माहौल का पुनर्निर्माण कर रहा है - यह अप्रत्यक्ष रूप से इंगित करता है कि हैकर्स को कोड और अन्य डेटा के महत्वपूर्ण टुकड़े मिल गए हैं।
लास्टपास ने यह भी कहा कि जांच चल रही है और कंपनी ने घटना के बारे में कानून प्रवर्तन और संबंधित नियामकों को सूचित कर दिया है। वह स्वयं उपयोगकर्ताओं को पासवर्ड-आधारित कुंजी व्युत्पत्ति फ़ंक्शन (PBKDF12) कुंजी जनरेशन मानक की सेटिंग्स को बदलने के लिए और निश्चित रूप से, अन्य साइटों पर मास्टर पासवर्ड का उपयोग नहीं करने के लिए मास्टर पासवर्ड को 2 वर्णों से कम नहीं बनाने की सलाह देती है। अधिक विस्तृत वर्तमान सिफारिशें दी गई हैं सेवा ब्लॉग में.
आप यूक्रेन को रूसी आक्रमणकारियों से लड़ने में मदद कर सकते हैं। ऐसा करने का सबसे अच्छा तरीका यूक्रेन के सशस्त्र बलों को धन दान करना है जीवन बचाएं या आधिकारिक पेज के माध्यम से NBU.