LastPass ยอมรับการละเมิดข้อมูลลูกค้าที่เกิดจากการละเมิดครั้งก่อน

ย้อนกลับไปในเดือนสิงหาคม 2022 LastPass บริษัทจัดการรหัสผ่านยอดนิยม เข้ารับการรักษา การละเมิดข้อมูล

บริษัท ซึ่งเป็นเจ้าของโดยธุรกิจซอฟต์แวร์ในฐานะบริการ GoTo ซึ่งเคยเป็น LogMeIn ได้เผยแพร่เนื้อหาสั้น ๆ แต่ก็ยังมีประโยชน์ รายงาน เกี่ยวกับเหตุการณ์นั้นประมาณหนึ่งเดือนต่อมา:

สรุปโดยย่อ LastPass สรุปว่าผู้โจมตีสามารถฝังมัลแวร์ลงในคอมพิวเตอร์ของผู้พัฒนาได้

ด้วยหัวหาดบนคอมพิวเตอร์เครื่องนั้น ดูเหมือนว่าผู้โจมตีจะสามารถรอได้จนกว่าผู้พัฒนาจะผ่านกระบวนการยืนยันตัวตนของ LastPass รวมถึงการนำเสนอข้อมูลรับรองการตรวจสอบสิทธิ์แบบหลายปัจจัยที่จำเป็น จากนั้นจึง "ดึงข้อมูล" เหล่านั้นเข้าสู่ระบบการพัฒนาของบริษัท

LastPass ยืนยันว่าบัญชีของผู้พัฒนาไม่ได้ให้อาชญากรเข้าถึงข้อมูลลูกค้าใดๆ หรือเข้าถึงห้องเก็บรหัสผ่านที่เข้ารหัสของใครก็ตาม

อย่างไรก็ตาม บริษัทยอมรับว่าอาชญากรใช้ประโยชน์จากข้อมูลที่เป็นกรรมสิทธิ์ของ LastPass โดยเฉพาะอย่างยิ่งรวมถึง “ซอร์สโค้ดและข้อมูลทางเทคนิคบางส่วนของเรา”และว่าพวกมิจฉาชีพอยู่ในเครือข่ายเป็นเวลาสี่วันก่อนที่จะถูกพบเห็นและถูกไล่ออก

จากข้อมูลของ LastPass รหัสผ่านของลูกค้าที่สำรองไว้บนเซิร์ฟเวอร์ของบริษัทจะไม่มีอยู่ในรูปแบบที่ถอดรหัสในระบบคลาวด์ รหัสผ่านหลักที่ใช้ในการถอดรหัสรหัสผ่านที่คุณบันทึกไว้จะถูกร้องขอและใช้ในหน่วยความจำบนอุปกรณ์ของคุณเองเท่านั้น ดังนั้น รหัสผ่านใดๆ ที่จัดเก็บไว้ในระบบคลาวด์จะถูกเข้ารหัสก่อนที่จะอัปโหลด และจะถอดรหัสอีกครั้งหลังจากดาวน์โหลดแล้วเท่านั้น กล่าวอีกนัยหนึ่ง แม้ว่าข้อมูลของห้องเก็บรหัสผ่านจะถูกขโมยไป แต่ก็ยังไม่สามารถเข้าใจได้อยู่ดี

การพัฒนาล่าสุด

อย่างไรก็ตาม ณ สิ้นเดือนพฤศจิกายน 2022 LastPass เข้ารับการรักษาต่อไป มีเรื่องราวมากกว่าที่พวกเขาคาดหวังไว้เล็กน้อย

ตาม บูเลทีนการรักษาความปลอดภัย ลงวันที่ 2022-11-30 บริษัทเพิ่งถูกโจมตีอีกครั้งโดยผู้โจมตี “ใช้ข้อมูลที่ได้รับจากเหตุการณ์ในเดือนสิงหาคม 2022”และครั้งนี้ข้อมูลลูกค้าถูกขโมย

กล่าวอีกนัยหนึ่ง แม้ว่าอาชญากรจะไม่สามารถขุดคุ้ยประวัติของลูกค้าได้ โดยตรง จากบัญชีของผู้พัฒนาที่ติดมัลแวร์ในเดือนสิงหาคม ดูเหมือนว่าโจรยังคงใช้รายละเอียดภายในที่ โดยอ้อม ให้พวกเขาหรือผู้ที่ขายข้อมูลให้เข้าถึงข้อมูลลูกค้าในภายหลัง

น่าเสียดายที่ LastPass ยังไม่ได้ให้ข้อมูลใด ๆ เกี่ยวกับประเภทของข้อมูลลูกค้าที่ถูกขโมย โดยรายงานเพียงว่าถูกขโมย “ทำงานอย่างขยันขันแข็งเพื่อทำความเข้าใจขอบเขตของเหตุการณ์และระบุข้อมูลเฉพาะที่ได้รับการเข้าถึง”.

ทั้งหมดที่ LastPass พูดได้อย่างแน่นอนในตอนนี้ [2022-12-01-T23:30Z] คือการย้ำว่า “[o] รหัสผ่านของลูกค้าของคุณยังคงได้รับการเข้ารหัสอย่างปลอดภัยเนื่องจากสถาปัตยกรรม Zero Knowledge ของ LastPass”

(ศูนย์ความรู้ เป็นคำเฉพาะที่สะท้อนถึงความจริงที่ว่าแม้ว่า LastPass จะเก็บข้อมูลบางประเภทในตู้นิรภัยรหัสผ่านของลูกค้า แต่ก็ไม่รู้ว่าข้อมูลนั้นอ้างอิงถึงอะไรจริง ๆ หรือแม้ว่าจริง ๆ แล้วประกอบด้วยชื่อบัญชีและรหัสผ่านก็ตาม)

กล่าวโดยสรุป แม้ว่าท้ายที่สุดแล้วจะกลายเป็นว่ามิจฉาชีพอาจฉกฉวยข้อมูลส่วนบุคคล เช่น ที่อยู่บ้าน หมายเลขโทรศัพท์ และรายละเอียดบัตรชำระเงิน (แม้ว่าเราหวังว่าจะไม่เป็นเช่นนั้นก็ตาม) รหัสผ่านของคุณยังคงปลอดภัยเท่ากับ รหัสผ่านหลักที่คุณเลือกเองในตอนแรก ซึ่งบริการคลาวด์ของ LastPass ไม่เคยร้องขอ นับประสาอะไรกับการเก็บสำเนาไว้

จะทำอย่างไร?

• หากคุณเป็นลูกค้า LastPass เราขอแนะนำให้คุณคอยดูรายงานเหตุการณ์ด้านความปลอดภัยของบริษัทเพื่อรับข้อมูลอัปเดต
• หากคุณเป็นผู้ปกป้องความปลอดภัยในโลกไซเบอร์ ทำไมไม่ฟัง คำแนะนำจากผู้เชี่ยวชาญ จากนักวิจัยด้านความปลอดภัยทางไซเบอร์ของ Sophos Chester Wisniewski เกี่ยวกับวิธีปกป้องพื้นที่ไอทีของคุณเองจากการโจมตีแบบเอาเป็นเอาตายแบบนี้

ในพอดคาสต์ด้านล่าง (มี การถอดเสียงแบบเต็ม ถ้าคุณชอบอ่านมากกว่าฟัง) เชสเตอร์กล่าวถึงก การละเมิดที่คล้ายกัน ที่เกิดขึ้นในเดือนกันยายน 2022 ที่ธุรกิจบริการเรียกรถ Uber และเตือนคุณว่าทำไม “แบ่งแยกแล้วพิชิต” หรือที่รู้จักกันในชื่อศัพท์แสง ศูนย์ความไว้วางใจเป็นส่วนสำคัญของการป้องกันทางไซเบอร์ในปัจจุบัน

ดังที่ Chester อธิบาย แม้ว่าการละเมิดทั้งหมดจะก่อให้เกิดอันตราย ไม่ว่าต่อชื่อเสียงของคุณหรือผลกำไรของคุณ ผลที่ได้จะเลวร้ายยิ่งกว่าอย่างหลีกเลี่ยงไม่ได้หากมิจฉาชีพเข้าถึง บาง ของเครือข่ายของคุณสามารถโรมมิ่งได้ทุกที่ที่ต้องการจนกว่าจะเข้าถึงได้ ทั้งหมด ของมัน