2022 সালের আগস্টে, জনপ্রিয় পাসওয়ার্ড ম্যানেজার কোম্পানি LastPass ভর্তি একটি তথ্য লঙ্ঘন।
সফ্টওয়্যার-এ-সার্ভিস বিজনেস GoTo-এর মালিকানাধীন কোম্পানি, যা LogMeIn ছিল, একটি খুব সংক্ষিপ্ত কিন্তু তবুও দরকারী প্রকাশ করেছে রিপোর্ট প্রায় এক মাস পরের ঘটনা সম্পর্কে:
সংক্ষেপে বলা যায়, LastPass উপসংহারে পৌঁছেছে যে আক্রমণকারীরা একটি ডেভেলপারের কম্পিউটারে ম্যালওয়্যার স্থাপন করতে পেরেছে।
সেই কম্পিউটারে একটি বিচহেড দিয়ে, মনে হচ্ছে আক্রমণকারীরা তখন পর্যন্ত অপেক্ষা করতে সক্ষম হয়েছিল যতক্ষণ না ডেভেলপার LastPass-এর প্রমাণীকরণ প্রক্রিয়ার মধ্য দিয়ে যায়, যার মধ্যে যেকোন প্রয়োজনীয় মাল্টি-ফ্যাক্টর প্রমাণীকরণ শংসাপত্র উপস্থাপন করা এবং তারপর কোম্পানির ডেভেলপমেন্ট সিস্টেমে তাদের "টেলগেট" করা।
LastPass জোর দিয়েছিল যে বিকাশকারীর অ্যাকাউন্ট অপরাধীদের কোনও গ্রাহকের ডেটা বা প্রকৃতপক্ষে কারও এনক্রিপ্ট করা পাসওয়ার্ড ভল্টে অ্যাক্সেস দেয়নি।
কোম্পানী অবশ্য স্বীকার করেছে যে, দুর্বৃত্তরা LastPass এর মালিকানা তথ্য, বিশেষত সহ "আমাদের কিছু সোর্স কোড এবং প্রযুক্তিগত তথ্য", এবং যে দুর্বৃত্তরা চার দিন ধরে নেটওয়ার্কে ছিল তাদের চিহ্নিত করে বের করে দেওয়ার আগে।
LastPass এর মতে, কোম্পানির সার্ভারে ব্যাক আপ করা গ্রাহকের পাসওয়ার্ড ক্লাউডে ডিক্রিপ্ট করা আকারে কখনোই বিদ্যমান থাকে না। আপনার সংরক্ষিত পাসওয়ার্ডগুলি আনস্ক্র্যাম্বল করতে ব্যবহৃত মাস্টার পাসওয়ার্ডটি শুধুমাত্র আপনার নিজের ডিভাইসে মেমরিতে অনুরোধ করা হয় এবং ব্যবহার করা হয়। অতএব, ক্লাউডে সংরক্ষিত যেকোনো পাসওয়ার্ড আপলোড হওয়ার আগে এনক্রিপ্ট করা হয় এবং ডাউনলোড হওয়ার পরেই আবার ডিক্রিপ্ট করা হয়। অন্য কথায়, এমনকি যদি পাসওয়ার্ড ভল্টের ডেটা চুরি হয়ে যায়, তবুও এটি দুর্বোধ্য হত।
সর্বশেষ ঘটনাবলী
ঠিক 2022 সালের নভেম্বরের শেষে, তবে, লাস্টপাস আরও স্বীকার করেছেন সম্ভবত তারা যা আশা করেছিল তার চেয়ে গল্পে আরও কিছুটা বেশি ছিল।
একটি মতে নিরাপত্তা বুলেটিন তারিখ 2022-11-30, কোম্পানি সম্প্রতি আক্রমণকারীদের দ্বারা আবার লঙ্ঘন করা হয়েছে "আগস্ট 2022 এর ঘটনায় প্রাপ্ত তথ্য ব্যবহার করে", এবং এই সময় গ্রাহকের তথ্য চুরি করা হয়েছে.
অন্য কথায়, এমনকি যদি অপরাধীরা গ্রাহকের রেকর্ডে খনন করতে সক্ষম না হয় সরাসরি অগাস্ট মাসে যে ডেভেলপার ম্যালওয়্যার দ্বারা সংক্রমিত হয়েছিল তার অ্যাকাউন্ট থেকে, মনে হয় যে তা সত্ত্বেও অভ্যন্তরীণ বিশদ বিবরণ দিয়ে কুটিলরা তৈরি করেছে পরোক্ষভাবে তাদের, বা যাদের কাছে তারা ডেটা বিক্রি করেছে, পরে গ্রাহকের তথ্যে অ্যাক্সেস দিয়েছে।
দুর্ভাগ্যবশত, LastPass এখনও কোন ধরনের গ্রাহকের ডেটা চুরি হয়েছে সে সম্পর্কে কোনো তথ্য দিচ্ছে না, কেবল রিপোর্ট করছে যে এটি "ঘটনার পরিধি বোঝার জন্য এবং কোন নির্দিষ্ট তথ্য অ্যাক্সেস করা হয়েছে তা সনাক্ত করার জন্য নিষ্ঠার সাথে কাজ করা".
LastPass এই মুহূর্তে নিশ্চিতভাবে যা বলতে পারে [2022-12-01-T23:30Z] তা হল পুনর্ব্যক্ত করা LastPass এর জিরো নলেজ আর্কিটেকচারের কারণে আপনার গ্রাহকদের পাসওয়ার্ড নিরাপদে এনক্রিপ্ট করা থাকে।
(শূন্য জ্ঞান একটি পরিভাষা শব্দ যা এই সত্যটিকে প্রতিফলিত করে যে যদিও LastPass তার গ্রাহকদের পাসওয়ার্ড ভল্টে কিছু ধরণের ডেটা ধারণ করে, তবে সেই ডেটাটি আসলে কী বোঝায় সে সম্পর্কে কোনও জ্ঞান নেই, বা এমনকি যদি এটি আসলে অ্যাকাউন্টের নাম এবং পাসওয়ার্ডগুলি নিয়ে থাকে।)
সংক্ষেপে, এমনকি যদি শেষ পর্যন্ত দেখা যায় যে বদমাশরা ব্যক্তিগত তথ্য যেমন বাড়ির ঠিকানা, ফোন নম্বর এবং পেমেন্ট কার্ডের বিশদ দিয়ে তৈরি করতে পারে (যদিও আমরা আশা করি এটি অবশ্যই নয়), আপনার পাসওয়ার্ডগুলি এখনও ততটাই নিরাপদ আপনি মূলত নিজের জন্য যে মাস্টার পাসওয়ার্ডটি বেছে নিয়েছেন, যেটি LastPass-এর ক্লাউড পরিষেবাগুলি কখনই চাইবে না, তার কপিগুলি রেখে দিন৷
কি করো?
- আপনি যদি লাস্টপাস গ্রাহক হন, আমরা আপনাকে আপডেটের জন্য কোম্পানির নিরাপত্তা ঘটনা প্রতিবেদনে আপনার নজর রাখার পরামর্শ দিই।
- আপনি যদি একজন সাইবার সিকিউরিটি ডিফেন্ডার হন, কেন শুনবেন না বিশেষজ্ঞের পরামর্শ সোফোস সাইবারসিকিউরিটি গবেষক চেস্টার উইসনিউস্কির কাছ থেকে কীভাবে আপনার নিজের আইটি এস্টেটকে এই ধরণের আক্রমণ থেকে রক্ষা করবেন?
নীচের পডকাস্টে (এখানে একটি সম্পূর্ণ প্রতিলিপি আপনি যদি শোনার চেয়ে পড়তে পছন্দ করেন), চেস্টার আলোচনা করেন ক একই ধরনের লঙ্ঘন যেটি 2022 সালের সেপ্টেম্বরে রাইড-হেইলিং বিজনেস Uber-এ হয়েছিল এবং আপনাকে মনে করিয়ে দেয় কেন "ডিভাইড অ্যান্ড কনক্যুর", যা জার্গন শব্দ দ্বারাও পরিচিত শূন্য ভরসা, সমসাময়িক সাইবার ডিফেন্সের একটি গুরুত্বপূর্ণ অংশ।
চেস্টার যেমন ব্যাখ্যা করেছেন, যদিও সমস্ত লঙ্ঘন কিছু ক্ষতি করে, হয় আপনার খ্যাতির জন্য বা আপনার নীচের লাইনের জন্য, ফলাফল অনিবার্যভাবে অনেক খারাপ হবে যদি দুর্বৃত্তরা অ্যাক্সেস পায় কিছু তারা অ্যাক্সেস না পাওয়া পর্যন্ত আপনার নেটওয়ার্কের যেখানে খুশি ঘোরাঘুরি করতে পারে৷ সব এটি.
যেকোন বিন্দুতে এড়িয়ে যেতে নীচের সাউন্ডওয়েভগুলিতে ক্লিক করুন এবং টেনে আনুন। আপনি এটিও করতে পারেন সরাসরি শুনুন সাউন্ডক্লাউডে।
- blockchain
- coingenius
- cryptocurrency মানিব্যাগ
- ক্রিপ্টোএক্সচেঞ্জ
- সাইবার নিরাপত্তা
- cybercriminals
- সাইবার নিরাপত্তা
- তথ্য ভঙ্গ
- তথ্য হারানোর
- হোমল্যান্ড সিকিউরিটি ডিপার্টমেন্ট
- ডিজিটাল ওয়ালেট
- ফায়ারওয়াল
- Kaspersky
- LastPassiOS এর
- ম্যালওয়্যার
- এমকাফি
- নগ্ন সুরক্ষা
- নেক্সব্লক
- Plato
- প্লেটো এআই
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটো গেম
- প্লেটোডাটা
- প্লেটোগেমিং
- গোপনীয়তা
- ভিপিএন
- ওয়েবসাইট নিরাপত্তা
- zephyrnet
![S3 Ep113: উইন্ডোজ কার্নেলকে পিন করা - যারা মাইক্রোসফট [অডিও + টেক্সট] প্লাটোব্লকচেন ডেটা ইন্টেলিজেন্সকে প্রতারণা করেছে। উল্লম্ব অনুসন্ধান. আ.](https://platoblockchain.com/wp-content/uploads/2022/12/s3-ep113-1200-360x188.png "S3 Ep113: উইন্ডোজ কার্নেলকে পিন করা - যারা মাইক্রোসফটকে প্রতারণা করেছিল [অডিও + টেক্সট]")
![S3 Ep92: Log4Shell4Ever, ভ্রমণ টিপস, এবং প্রতারণা [অডিও + টেক্সট] PlatoBlockchain ডেটা ইন্টেলিজেন্স। উল্লম্ব অনুসন্ধান. আ.](https://platoblockchain.com/wp-content/uploads/2022/07/ns-s3-ep92-1200-300x156.jpg "S3 Ep92: Log4Shell4Ever, ভ্রমণ টিপস, এবং প্রতারণা [অডিও + পাঠ্য]")
![S3 Ep101: Uber এবং LastPass লঙ্ঘন - 2FA কি সবই ক্র্যাক করা হয়েছে? [অডিও + টেক্সট] PlatoBlockchain ডেটা ইন্টেলিজেন্স। উল্লম্ব অনুসন্ধান. আ.](https://platoblockchain.com/wp-content/uploads/2022/09/s3-ep101-1200-360x188.jpg "S3 Ep101: Uber এবং LastPass লঙ্ঘন - 2FA কি সবই ক্র্যাক করা হয়েছে? [অডিও + পাঠ্য]")
