LastPass son üç ayda ikinci dəfə haker hücumuna məruz qalıb. Dünyada 30 milyondan çox insan istifadə edir. Parol meneceri LastPass etiraf edib ki, hakerlər istifadəçi parollarının və digər həssas məlumatların, o cümlədən istifadəçilərin hesab ünvanları, telefon nömrələri və İP ünvanlarının şifrələnmiş surətlərini oğurlayıblar. Əvvəlcə sistem avqustda, noyabrın sonunda - dekabrın əvvəlində hansı məlumatların oğurlandığı barədə məlumat ortaya çıxdı və indi şirkətin bloqunda təfərrüatlar dərc edildi.
Şifrə meneceri LastPass sındırıldı, bu hakerlərin özləri üçün çox uğurlu oldu, onlar istifadəçinin məlumatlarına daxil ola bildilər, lakin dəqiq nə olduğu hələ məlum deyil. Çox güman ki, onlar artıq xidmət mağazasının istifadəçilərinin profillərində olan parollara çıxış əldə ediblər.
LastPass sındırılması və istifadəçi məlumatlarının oğurlanması barədə məlumatı xidmətin özü də təsdiqləyib. Bununla belə, onlar həm sızmanın miqyasını, həm də təcavüzkarların əlinə keçən məlumatın mahiyyətini diqqətlə gizlədirlər, buna görə də indiyədək dünyada milyonlarla insan olan istisnasız bütün LastPass istifadəçiləri risk altındadır. EarthWeb portalının məlumatına görə, 2022-ci ilin oktyabrına olan məlumata görə, LastPass istifadəçi bazası 33 milyon nəfər təşkil edib.
Material yayımlanana qədər LastPass nümayəndələri şəxsi onlayn yaddaşında yerləşən istifadəçilərin parollarının sızmasını təsdiqləməsələr də, inkar etmədilər. Bununla belə, haker hücumunun məhz belə bir nəticəsi riski var. Bundan əlavə, LastPass-ın mövcud olduğu 14 il ərzində parolların bir dəfədən çox sızmasına icazə verdiyini nəzərə alsaq, bu halda risk yüksəkdir.
Mən nə edim?
İstifadəçilərin etməli olduğu ilk şey, hansı parolların buludda saxlandığını görmək və təcavüzkarlar xüsusi olaraq onlara çatmazdan əvvəl onları mümkün qədər tez dəyişməkdir. Bir çox insanlar, məsələn, İnternet bankından və ya korporativ e-poçtdan parolları belə menecerlərdə saxlayırlar.
İkinci addım, LastPass üçün əvəz deyilsə, ən azı oflayn işləyənlər arasından ehtiyat parol meneceri tapmaqdır. Belə proqramlar parolların verilənlər bazasını birbaşa istifadəçinin cihazında saxlayır (çox vaxt şifrələnmiş formada), bu da onun məzmununun sızması riskini əhəmiyyətli dərəcədə azaldır.
Parol menecerləri istifadəçilərə istifadəçi adlarını və parollarını müxtəlif saytlarda bir yerdə saxlamağa imkan verir - istifadəçi tərəfindən yaradılan əsas parol ilə əldə edilir. Last Pass əsas parolu saxlamır və ya atmır. Digər şifrələnmiş məlumatlar yalnız "istifadəçinin əsas parolundan əldə edilən unikal şifrələmə açarı"ndan istifadə etməklə əldə edilə bilər. Bununla belə, şirkət müştərilərə xəbərdarlıq edib ki, onlar sosial mühəndislik, fişinq və digər məlumat əldə etmək üsullarının qurbanı ola bilərlər. Bundan əlavə, hakerlər əsas parolu əldə etmək və şifrələnmiş yaddaşda yerləşən digər məlumatların şifrəsini açmaq üçün kobud güc hücumundan istifadə edə bilərlər. Bununla belə, LastPass iddia edir ki, təcavüzkarların ictimaiyyətə açıq olan sındırma üsullarından istifadə edərək parol tapmaq üçün “milyonlarla il” lazım olacaq.
Şirkət bildirib ki, kibertəhlükəsizliyi təmin edən Mandiant şirkəti insidentlə bağlı araşdırma aparır və LastPass özü bütün iş mühitini tamamilə yenidən qurur - bu dolayı yolla hakerlərin əhəmiyyətli kod parçalarına və digər məlumatlara əl atdığını göstərir.
LastPass həmçinin bildirib ki, araşdırma davam edir və şirkət hadisə ilə bağlı hüquq-mühafizə orqanlarını və müvafiq tənzimləyiciləri məlumatlandırıb. O, özü istifadəçilərə əsas parolu 12 simvoldan qısa olmamağı, parola əsaslanan açar törəmə funksiyasının (PBKDF2) açar yaratma standartının parametrlərini dəyişməyi və təbii ki, başqa saytlarda əsas paroldan istifadə etməməyi tövsiyə edir. Daha ətraflı cari tövsiyələr verilir xidmət bloqunda.
Siz Ukraynaya rus işğalçılarına qarşı mübarizədə kömək edə bilərsiniz. Bunun ən yaxşı yolu Ukrayna Silahlı Qüvvələrinə pul köçürməkdir Savelife və ya rəsmi səhifə vasitəsilə NBU.