اگست 2022 میں، مقبول پاس ورڈ مینیجر کمپنی LastPass میں داخل ڈیٹا کی خلاف ورزی.
کمپنی، جس کی ملکیت سافٹ ویئر کے طور پر ایک سروس کے کاروبار GoTo کی ہے، جو LogMeIn ہوا کرتا تھا، نے ایک بہت مختصر لیکن اس کے باوجود مفید شائع کیا رپورٹ تقریباً ایک ماہ بعد اس واقعے کے بارے میں:
مختصراً، LastPass نے یہ نتیجہ اخذ کیا کہ حملہ آور ایک ڈویلپر کے کمپیوٹر پر میلویئر لگانے میں کامیاب ہو گئے۔
اس کمپیوٹر پر بیچ ہیڈ کے ساتھ، ایسا لگتا ہے کہ حملہ آور اس وقت تک انتظار کرنے کے قابل تھے جب تک کہ ڈویلپر LastPass کی توثیق کے عمل سے گزر نہ گیا ہو، بشمول کوئی ضروری ملٹی فیکٹر تصدیقی اسناد پیش کرنا، اور پھر انہیں کمپنی کے ترقیاتی نظاموں میں "ٹیلگیٹ" کرنا۔
LastPass نے اصرار کیا کہ ڈویلپر کے اکاؤنٹ نے مجرموں کو کسی بھی صارف کے ڈیٹا، یا درحقیقت کسی کے بھی انکرپٹڈ پاس ورڈ والٹس تک رسائی نہیں دی تھی۔
تاہم، کمپنی نے اعتراف کیا کہ بدمعاشوں نے LastPass کی ملکیتی معلومات سے کام لیا تھا، خاص طور پر "ہمارا کچھ سورس کوڈ اور تکنیکی معلومات"، اور یہ کہ بدمعاش چار دن تک نیٹ ورک میں تھے اس سے پہلے کہ انہیں دیکھا گیا اور باہر نکال دیا گیا۔
LastPass کے مطابق، کمپنی کے سرورز پر بیک اپ کیے گئے صارف کے پاس ورڈز کبھی بھی کلاؤڈ میں ڈکرپٹڈ شکل میں موجود نہیں ہوتے۔ آپ کے محفوظ کردہ پاس ورڈز کو کھولنے کے لیے استعمال ہونے والا ماسٹر پاس ورڈ صرف آپ کے اپنے آلات پر میموری میں درخواست اور استعمال کیا جاتا ہے۔ اس لیے، کلاؤڈ میں محفوظ کردہ کوئی بھی پاس ورڈ اپ لوڈ ہونے سے پہلے انکرپٹ کیے جاتے ہیں، اور ڈاؤن لوڈ ہونے کے بعد ہی دوبارہ ڈیکرپٹ کیے جاتے ہیں۔ دوسرے لفظوں میں، یہاں تک کہ اگر پاس ورڈ والٹ کا ڈیٹا چوری ہو گیا ہوتا، تب بھی یہ ناقابل فہم ہوتا۔
تازہ ترین پیشرفت
نومبر 2022 کے آخر میں، تاہم، LastPass مزید اعتراف کیا کہ کہانی میں اس سے کہیں زیادہ تھا جس کی شاید وہ امید کر رہے تھے۔
ایک کے مطابق سیکورٹی بلیٹن مورخہ 2022-11-30، کمپنی کو حال ہی میں حملہ آوروں نے دوبارہ توڑ دیا۔ "اگست 2022 کے واقعے میں حاصل کردہ معلومات کا استعمال کرتے ہوئے"، اور اس بار کسٹمر کا ڈیٹا چوری کیا گیا تھا۔
دوسرے لفظوں میں، یہاں تک کہ اگر مجرم صارفین کے ریکارڈ میں کھودنے کے قابل نہیں تھے۔ براہ راست اس ڈویلپر کے اکاؤنٹ سے جو اگست میں میلویئر سے متاثر ہوا تھا، ایسا لگتا ہے کہ بدمعاشوں نے اس کے باوجود اندرونی تفصیلات سے کام لیا غیر مستقیم انہیں، یا کسی ایسے شخص کو دیا جسے انہوں نے ڈیٹا پر فروخت کیا، بعد میں کسٹمر کی معلومات تک رسائی حاصل کی۔
بدقسمتی سے، LastPass ابھی تک اس بارے میں کوئی معلومات نہیں دے رہا ہے کہ کس قسم کا کسٹمر ڈیٹا چوری ہوا ہے، صرف یہ بتا رہا ہے کہ یہ "واقعے کے دائرہ کار کو سمجھنے اور اس بات کی نشاندہی کرنے کے لیے تندہی سے کام کرنا کہ کس مخصوص معلومات تک رسائی حاصل کی گئی ہے".
LastPass ابھی یقین سے کہہ سکتا ہے کہ [2022-12-01-T23:30Z] اس بات کا اعادہ کرنا ہے LastPass کے زیرو نالج فن تعمیر کی وجہ سے آپ کے صارفین کے پاس ورڈ محفوظ طریقے سے انکرپٹڈ رہتے ہیں۔
(صفر علم ایک لفظی اصطلاح ہے جو اس حقیقت کی عکاسی کرتی ہے کہ اگرچہ LastPass اپنے صارفین کے پاس ورڈ والٹس میں کسی قسم کا ڈیٹا رکھتا ہے، لیکن اسے اس بات کا کوئی علم نہیں ہے کہ اس ڈیٹا سے اصل میں کیا مراد ہے، یا یہاں تک کہ اگر یہ حقیقت میں اکاؤنٹ کے ناموں اور پاس ورڈز پر مشتمل ہے۔)
مختصراً، یہاں تک کہ اگر بالآخر یہ پتہ چلا کہ بدمعاشوں نے ذاتی معلومات جیسے کہ گھر کے پتے، فون نمبر اور ادائیگی کارڈ کی تفصیلات (حالانکہ ہم امید کرتے ہیں کہ ایسا نہیں ہے، یقیناً) آپ کے پاس ورڈز اب بھی اتنے ہی محفوظ ہیں جتنے کہ وہ ماسٹر پاس ورڈ جو آپ نے اصل میں اپنے لیے چنا ہے، جسے LastPass کی کلاؤڈ سروسز کبھی نہیں مانگتی ہیں، اس کی کاپیاں رکھنے دیں۔
کیا کیا جائے؟
- اگر آپ LastPass کسٹمر ہیں، ہمارا مشورہ ہے کہ آپ اپ ڈیٹس کے لیے کمپنی کے سیکیورٹی واقعے کی رپورٹ پر نظر رکھیں۔
- اگر آپ سائبر سیکیورٹی کے محافظ ہیں، کیوں نہیں سنتے ماہر مشورہ سوفوس سائبرسیکیوریٹی کے محقق چیسٹر وسنیوسکی سے اس بارے میں کہ آپ کی اپنی آئی ٹی اسٹیٹ کو اس قسم کے گیٹ-اے-بیچ ہیڈ اور آگے جانے والے حملے سے کیسے بچایا جائے؟
ذیل میں پوڈ کاسٹ میں (وہاں ہے a مکمل نقل اگر آپ سننے کے بجائے پڑھنے کو ترجیح دیتے ہیں)، چیسٹر بحث کرتا ہے a اسی طرح کی خلاف ورزی جو ستمبر 2022 میں رائیڈ ہیلنگ بزنس Uber میں ہوا تھا، اور آپ کو یاد دلاتا ہے کہ "تقسیم کرو اور فتح کرو"، جسے جرگن اصطلاح سے بھی جانا جاتا ہے صفر اعتماد، عصری سائبر ڈیفنس کا ایک اہم حصہ ہے۔
جیسا کہ چیسٹر وضاحت کرتا ہے، اگرچہ تمام خلاف ورزیاں آپ کی ساکھ کو یا آپ کی نچلی لائن کو کچھ نقصان پہنچاتی ہیں، لیکن اگر بدمعاشوں تک رسائی حاصل ہوتی ہے تو نتیجہ لامحالہ بہت زیادہ خراب ہوگا۔ کچھ آپ کے نیٹ ورک کے وہ جہاں چاہیں گھوم سکتے ہیں جب تک کہ انہیں رسائی نہ مل جائے۔ تمام اس کے
کسی بھی مقام پر جانے کے لیے نیچے دی گئی ساؤنڈ ویوز پر کلک کریں اور ڈریگ کریں۔ آپ بھی براہ راست سنیں ساؤنڈ کلاؤڈ پر۔
- blockchain
- coingenius
- cryptocurrency بٹوے
- کریپٹو ایکسچینج
- سائبر سیکورٹی
- cybercriminals
- سائبر سیکیورٹی
- ڈیٹا کی خلاف ورزی
- ڈیٹا کے نقصان
- محکمہ داخلی سیکورٹی
- ڈیجیٹل بٹوے
- فائروال
- Kaspersky
- LastPass
- میلویئر
- میکفی
- ننگی سیکیورٹی
- NexBLOC
- پلاٹا
- افلاطون اے
- افلاطون ڈیٹا انٹیلی جنس
- افلاطون گیم
- پلیٹو ڈیٹا
- پلیٹو گیمنگ
- کی رازداری
- VPN
- ویب سائٹ کی سیکورٹی
- زیفیرنیٹ
![S3 Ep115: حقیقی جرائم کی کہانیاں - سائبر کرائم فائٹر [آڈیو + ٹیکسٹ] پلیٹو بلاکچین ڈیٹا انٹیلی جنس کی زندگی کا ایک دن۔ عمودی تلاش۔ عی](https://platoblockchain.com/wp-content/uploads/2022/12/pm-expert-1200-360x188.png "S3 Ep115: جرائم کی حقیقی کہانیاں – سائبر کرائم فائٹر کی زندگی کا ایک دن [آڈیو + ٹیکسٹ]")
![S3 Ep123: کرپٹو کمپنی سمجھوتہ کرففل [آڈیو + ٹیکسٹ]](https://platoblockchain.com/wp-content/uploads/2023/02/s3-ep123-crypto-company-compromise-kerfuffle-audio-text-300x156.png "S3 Ep123: کرپٹو کمپنی سمجھوتہ کرففل [آڈیو + ٹیکسٹ]")
![S3 Ep102: hyped-up cybersecurity news story [Audio + Transscript] PlatoBlockchain Data Intelligence میں فکشن سے حقیقت کو چھانٹنا۔ عمودی تلاش۔ عی](https://platoblockchain.com/wp-content/uploads/2022/09/s3-ep102-cover-360x188.jpg "S3 Ep102: hyped-up cybersecurity news سٹوریز میں فکشن سے حقیقت کو چھانٹنا [آڈیو + ٹرانسکرپٹ]")
