خرق أمان LastPass: كيف تحمي نفسك
نشرت: 2023-01-05ما تحتاج إلى معرفته والقيام به بشأن خرق LastPass
إذا كنت من مستخدمي LastPass ، مثل العديد منا في مجتمع WordPress ، فقد تبحث عن حل بديل لإدارة كلمات المرور اليوم. بعد خرق أمني هائل في LastPass ، لم تكشف الشركة في الوقت المناسب - مما قد يعرض بياناتك للخطر - يجب أن تنظر في التبديل إلى Bitwarden أو 1Password. والأفضل من ذلك ، ابدأ في استخدام مفاتيح المرور عندما يكون ذلك ممكنًا - فهي تجعل عمليات تسجيل الدخول بدون كلمة مرور الحل الأمني النهائي. أخيرًا ، إذا كنت مسؤولاً عن أمان بيانات الآخرين أو إذا كان لديك دور اتصال ، فيمكنك التعلم من أخطاء LastPass - بشكل أساسي ما لا يجب عليك فعله. دعنا نلقي نظرة على ما حدث ، وما كان يجب أن يحدث ، وكيف يجب عليك تأمين حساباتك على الإنترنت بشكل استباقي.
حفر حفرة أعمق لن يخرجك
في أغسطس 2022 ، نشر الرئيس التنفيذي لشركة LastPass كريم توبا أول ما سيصبح سلسلة من الإفصاحات العامة الجادة حول خرق أمني عميق ومستمر. قال الكشف الأولي إن "طرفًا غير مصرح له" تمكن جزئيًا من الوصول إلى بيئة تطوير مهندسي LastPass من خلال استغلال "حساب مطور واحد مخترق". سرق الدخيل بعض التعليمات البرمجية المصدر و "المعلومات الفنية الخاصة بـ LastPass". ومع ذلك ، قال Toubba إنه لم يكن هناك أي تأثير على منصة إدارة كلمات المرور LastPass نفسها أو على عملائها. بشكل لا لبس فيه ، أكد لعملاء LastPass أن كلمات المرور الرئيسية والبيانات والمعلومات الشخصية آمنة. كانت معلومات الحساب الهامة الخاصة بنا آمنة تمامًا ، ولم يمسها المتسللون.
لسوء الحظ ، لم يكن هذا صحيحًا على الإطلاق.
ما حدث بالفعل في LastPass
ابتداءً من أواخر نوفمبر ، أجرى Toubba العديد من التحديثات لإفصاح LastPass الذي قام Zack Whittaker من TechCrunch بتحليله بشكل مفيد لإظهار ما لم يوضحه LastPass. أوضح LastPass في النهاية أن المهاجم سرق بعض بيانات العميل في خرق ثان تم تمكينه بواسطة "المعلومات التي تم الحصول عليها" في الخرق السابق. أولاً ، استهدف المهاجم أحد مطوري LastPass ثم آخر لاختراق أنظمة LastPass بشكل أعمق ، بما في ذلك التخزين السحابي للشركة الأم لـ LastPass ، GoTo. (تمتلك GoTo أيضًا LogMeIn و GoToMyPC.)
في خطوة مزعجة ، أخفت GoT الكشف الخاص بها عن محركات البحث.
بعد ذلك ، قبل عيد الميلاد مباشرةً ، قام Toubba بتحديث الكشف عن خرق LastPass مرة أخرى. وأكد أن المهاجمين سرقوا لقطة احتياطية لخزائن كلمات مرور عميل LastPass المشفرة. أقر Toubba أيضًا أن أي شخص لديه اللقطة يمكنه استخدام أساليب القوة الغاشمة لاختراق خزائن كلمات مرور العميل المشفرة. تم تضمين في الخرق أسماء عملاء LastPass وأسماء شركاتهم وعناوين البريد الإلكتروني وأرقام هواتفهم وعناوين IP وعناوين URL والملاحظات وبيانات النموذج وبعض معلومات الفواتير.
هذا أبعد ما يكون عن السوء.
تأثير التواصل السيئ للأزمات من LastPass
لم يكشف LastPass عن حقائق أساسية مثل عدد حسابات المستخدمين في البيانات المسروقة. وبالتالي ، يجب أن نفترض أن جميع مستخدمي LastPass البالغ عددهم 25 مليونًا (اعتبارًا من نوفمبر 2022) معرضون للخطر بسبب هذه الانتهاكات الأمنية. بالإضافة إلى ذلك ، حتى العملاء السابقين قد يكونون في خطر الآن إذا كانت ملفات النسخ الاحتياطي المسروقة تحتوي على بياناتهم الشخصية القديمة وبيانات خزنة كلمات المرور.
لقد استخدمت LastPass لسنوات عديدة للوصول إلى كلمات مرور الأشخاص الآخرين التي يشاركونها معي لأغراض العمل. على الرغم من أنني لم أدفع مقابل استخدام الخدمة بنفسي ، فقد اضطررت إلى الاحتفاظ بحساب مع LastPass لهذا السبب. لقد تلقيت إخطارات خرق الأمان من LastPass عبر البريد الإلكتروني مثل العملاء الآخرين ، وكنت قلقًا على الفور. لقد لاحظت أن الموضوع تم طرحه للمناقشة في Post Status Slack ، وهو منتدى مجتمعي شهير لمحترفي WordPress. شارك روبرت رولي ، أحد مطوري برامج Patchstack ، الأخبار هناك. وأشار إلى أنه "لم يتم تسريب أي كلمات مرور رئيسية أو كلمات مرور مخزنة. لا حاجة لاتخاذ أي إجراء ". مثل الملايين من مستخدمي Patchstack الآخرين ، وثقنا جميعًا بما أخبرتنا به الشركة ، وكنا مخطئين.
في وقت لاحق ، شارك آخرون في Patchstack وفي مجتمع WordPress أخبار GoTo لقمع كشف الخرق الخاص بهم. في ديسمبر ، علق رولي مرة أخرى ، ملاحظًا إلى أي مدى وصلت الأمور من البيان الأولي الذي صدقناه جميعًا. "لم يتم الوصول إلى خزائن العملاء." بمقارنة سلسلة الإفصاحات المتناقضة بالتعرض لللكمات ، لاحظ رولي ، "يمكن اعتبار هذا مزيجًا من اليسار واليمين لفقدان الثقة ، كل تحديث يجعل الحادث أسوأ."
ماذا يجب أن يحدث في LastPass
في مجتمع المصادر المفتوحة ، نقدر الشفافية على الخطأ. نحاول الحفاظ على ثقافة الكشف المسؤول وحمايتها ، خاصةً فيما يتعلق بالأمن. إذا اكتشفنا وجود ثغرات أمنية في منتجات البرامج مفتوحة المصدر ، فإننا نبلغ مالكيها والقائمين على صيانتها بهدوء. نتوقع منهم تنبيه مستخدميهم على الفور والإفصاح الكامل بمجرد تصحيح أي رمز قابل للاستغلال. نتوقع أن يحدث ذلك بسرعة كبيرة ، كأولوية قصوى. بهذه الطريقة ، يحاول أعضاء مجتمع المصادر المفتوحة مساعدة بعضهم البعض في حل المشكلات التي تؤثر على الجميع بدلاً من التستر عليها ، وهو ما يحدث كثيرًا مع البرامج الاحتكارية.
تنطبق أخلاقيات مماثلة عندما يسرق الأفراد الخبيثون معلومات التعريف الشخصية عالية القيمة (PII). بينما تختلف قوانين الإخطار بخرق الأمان باختلاف الولايات والبلدان ، فإنها تتطلب جميعها الإفصاح في الوقت المناسب للأشخاص المتضررين. إنها ليست مجاملة بسيطة - إنها التزام قانوني وأخلاقي.
في الأمن ، الثقة هي كل شيء
كل الخروقات الأمنية يمكن أن تلحق الضرر بالثقة. إنها كلها مواقف سيئة يمكن أن تزداد سوءًا عندما تتعمق بالتأخير. قد يكون الكشف عن معلومات غير صحيحة وغير كاملة كارثيًا لشركة وعلامة تجارية كما رأينا مع LastPass.
لماذا يجب على أي شخص أن يثق في شركة تُظهر مثل هذا السلوك غير المسؤول ، والذي يهتم بالذات ، والذي يؤدي حتماً إلى التدمير الذاتي عندما تكون قد خذلت عملائها بشكل سيء؟ الصدق والتواصل المباشر والواضح الذي يركز على تخفيف الضرر الذي يلحق بالعملاء هو الطريقة الوحيدة الممكنة لتحسين الأمور.
الثقة في النهاية ليست تقنية أو مفهومًا تقنيًا. يتعلق الأمر بالعلاقات الإنسانية. تعتمد الثقة على كيفية معاملتك للناس ، خاصة أولئك الذين وضعوا ثقتهم فيك. نحن لا نفي بوعودنا دائمًا والفشل ممكن دائمًا. السبيل الوحيد للمضي قدمًا والذي قد يجدد الثقة عندما يحدث الأسوأ هو الاعتراف بما حدث ووضع كل شيء بصدق.
كيف يجب على مستخدمي LastPass الاستجابة لخرق الأمان؟
نظرًا للطريقة التي كشف بها LastPass عن هذا الخرق ، لن تساعد الإجراءات الأمنية الإضافية على LastPass لحماية خزنة كلمة المرور الخاصة بك. حان الوقت للبدء أولاً ، بالانتقال إلى مدير كلمات مرور جديد مثل 1Password أو Bitwarden أو NordPass ، وثانيًا والأهم من ذلك البدء في تغيير كلمات المرور على المواقع والتطبيقات الهامة التي قمت بتخزين بيانات اعتمادها في خزنة LastPass الخاصة بك. ستكون إضافة المصادقة ذات العاملين إلى تلك المواقع خطوة حكيمة للغاية إذا لم تكن قد قمت بذلك بالفعل.
إذا لم يكن مخزنك محميًا بكلمة مرور رئيسية قوية ، فسيتم اختراق جميع حساباتك عبر الإنترنت في النهاية. حتى لو كان لديك كلمة مرور رئيسية قوية ، فلا يزال من الممكن اختراقها بالقوة الغاشمة.
إنها ليست مسألة ما إذا كان سيتم فك تشفير بياناتك ، إنها مسألة وقت . نظرًا لحدوث هذا الاختراق قبل خمسة أشهر من إفصاح LastPass عن تأثر خزائن العملاء ، فإن المهاجمين الضارين لديهم بالفعل السبق. على هذا النحو ، من الضروري البدء في تأمين بيانات الاعتماد لأي حسابات قمت بتخزينها على LastPass.
لهذا السبب فإن الشيء التالي والأهم هو البدء في تغيير جميع كلمات المرور لجميع الحسابات التي قمت بتخزينها في LastPass. قم بترتيب الأولويات الأكثر أهمية أولاً - مثل الحسابات المالية ، وحسابات إدارة الموقع ، وغيرها من الحسابات التي قد تكلفك خسارتها غالياً.
حان الوقت لمغادرة LastPass
أخيرًا ، نوصي بإغلاق حساب LastPass الخاص بك والانتقال إلى خدمة أخرى مثل Bitwarden أو 1Password. لدى Bitwarden أداة ترحيل لاستيراد سجلات حساب LastPass الخاص بك. وكذلك الحال مع 1Password.
حان الوقت للخروج من LastPass. إذا كان لديك الأموال اللازمة للإنفاق على 1Password ، فهو بديل أكثر قوة للعديد من مديري كلمات المرور الآخرين المتاحين. يعتمد إعداد الأمان أيضًا على مفتاح سري لتأمين الخزائن. كان 1Password خيارًا للعديد من محترفي الأمان ، ولديه أنظمة رائعة لمشاركة الوصول إلى الخزنة للفرق التي تتطلب الوصول إلى العديد من الحسابات.
بديل آخر هو Bitwarden. أداة مفتوحة المصدر ، شفرة مصدر Bitwarden متاحة للمراجعة على Github حيث يتم تدقيقها بشكل متكرر من قبل الباحثين الأمنيين. الحساب المدفوع هو 10 دولارات فقط في السنة ، مما يجعل دعم المشروع سهلاً للأشخاص ذوي الميزانية المحدودة. يمكنك أيضًا استضافة مخزن Bitwarden الخاص بك بنفسك إذا كنت ترغب في القيام بذلك.
فرصة لإعادة التفكير في ممارسات الأمان الخاصة بك
حتى لو لم تكن عميلاً ، فإن خرق LastPass يعد فرصة جيدة للتفكير في سياسات الأمان الخاصة بك. الميزة الرئيسية لمديري كلمات المرور مثل LastPass هي القدرة على مشاركة الوصول إلى الحسابات عبر الإنترنت مع أشخاص آخرين. تدفعنا القيود المفروضة على العديد من الخدمات عبر الإنترنت واحتياجات مكان العمل إلى مشاركة الوصول إلى الحساب كوسيلة للراحة. ومع ذلك ، تعد مشاركة الحسابات ، كقاعدة عامة ، ممارسة أمنية سيئة للغاية. لا تمنح أكثر من شخص حق الوصول إلى حسابات الوسائط الاجتماعية لمستخدم واحد مثل Twitter! استخدم تطبيق مدير الوسائط الاجتماعية متعدد المستخدمين بدلاً من ذلك. بعد ذلك ، يمكنك السماح لأي عدد من الأشخاص بإرسال تغريدات دون المخاطرة بخسارة حسابك الأساسي. وعندما يترك هؤلاء الأشخاص أدوارهم أو يغيرونها ، ستكون إدارة امتيازات الوصول الخاصة بهم أسهل بكثير.
يمكن لأي شخص قمت بمنحه حق الوصول إلى كلمات المرور المشتركة في تطبيق مثل LastPass الاحتفاظ بكلمات المرور هذه - إلى الأبد. قد يكتبونها. يمكنهم حفظها في مدير كلمات المرور للمتصفح الخاص بهم للراحة. يأتي الناس ويذهبون في كل فريق ومنظمة. تتطلب ممارسة الأمان المناسبة حذف الحسابات غير المستخدمة وتغيير كلمات المرور دون تأخير. هل تمارس هذا؟ كيف جيدا تفعل ذلك؟ هل جعلت الأمر سهلاً وواضحًا قدر الإمكان؟ هل فوضت هذه المسؤولية الجوهرية لشخص معين؟ من الذي يتحقق من امتيازات وصول فريقك ويدققها؟ كم مرة يفعلون ذلك؟
فكر في أسوأ السيناريوهات الخاصة بك. كيف ستتعامل مع الاتصال بشأن خرق كشف بيانات العملاء الخاصة بك؟ كيف يمكنك العودة إلى استراتيجية وقائية استباقية حتى لا يحدث هذا أبدًا؟
لا يوجد عمل صغير جدًا لتجاهل هذه المسؤوليات الحاسمة. ما الذي يمكنك فعله اليوم لتقليل مخاطر حدوث خرق كارثي غدًا؟
مفاتيح المرور للفوز! مستقبل الأمن الرقمي
يبرز هذا الحدث المشاكل المتعلقة بكلمات المرور. يحاول مديرو كلمات المرور دعم كلمات مرور أكثر تعقيدًا ، وقد حاولت المصادقة ذات العاملين توفير طبقة أخرى من الأمان. ومع ذلك ، وفقًا لتقرير أمان بيانات Verizon ، فإن أقل من 30٪ من المستخدمين يستخدمون المصادقة الثنائية فعليًا. كلمات المرور معطلة حقًا. مفاتيح المرور هي الحل للمضي قدمًا.
مفتاح المرور هو نوع من أساليب المصادقة التي تتضمن استخدام جهاز مادي ، مثل مفتاح فوب أو بطاقة ذكية ، للتحقق من هوية المستخدم. يمكن أيضًا استخدام جهاز كمبيوتر أو هاتف به طرق تسجيل دخول بيومترية شائعة بشكل متزايد لمصادقة هويتك على موقع ويب. تعتبر مفاتيح المرور أكثر أمانًا من طرق المصادقة الأخرى ، مثل كلمات المرور ، لأنها توفر طبقة إضافية من الأمان.
إذا كان جهاز الكمبيوتر الخاص بك جهازًا معروفًا وموثوقًا به مع مفتاح مرور لحسابك المصرفي (أو موقع WordPress إذا كنت تستخدم iThemes Security Pro) ، فيمكنك تجاوز عمليات تسجيل الدخول التقليدية إلى الموقع. يكفي أن يتعرف موقع الويب على جهازك وربما يطلب بصمة من خلال Touch ID على أجهزة Apple أو Windows Hello لـ Microsoft.
راحة البال الحقيقية بدون كلمة مرور
تتمثل إحدى ميزات مفاتيح المرور في أنه لا يمكن تخمينها أو اختراقها بسهولة كما يمكن لكلمة المرور. يمكن أن تكون كلمات المرور عرضة لهجمات القاموس ، حيث يختبر أحد المتطفلين قائمة من كلمات المرور الشائعة لمحاولة الوصول إلى حساب. من ناحية أخرى ، تكون مفاتيح المرور فريدة من نوعها ولا يمكن تكرارها بسهولة ، مما يجعل التنازل عنها أكثر صعوبة.
بالإضافة إلى ذلك ، يمكن استخدام مفاتيح المرور جنبًا إلى جنب مع طرق المصادقة الأخرى ، مثل كلمة مرور الجهاز أو المصادقة البيومترية ، لتوفير مستوى أعلى من الأمان. يُعرف هذا بالمصادقة متعددة العوامل ، ويمكن أن يزيد بشكل كبير من صعوبة وصول المتسلل إلى حساب.
قد تجعل مفاتيح المرور قريبًا مديري كلمات المرور مثل LastPass غير ضروريين. سيؤدي ذلك إلى جعل الويب أكثر أمانًا ، حيث قد تصبح انتهاكات أمان النظام الأساسي الكبيرة مثل LastPass التي تمت تجربتها شيئًا من الماضي. إذا قمت بتشغيل موقع WordPress أو WooCommerce ، فيمكنك منح نفسك ومستخدميك أمانًا عاليًا وراحة لا مثيل لها لعمليات تسجيل الدخول بدون كلمة مرور باستخدام ميزة مفتاح مرور iThemes Pro.
حالة مديري كلمات المرور في عام 2023
دورة تدريبية تفاعلية مباشرة عبر الإنترنت
10 يناير 2023 @ 1:00 مساءً (وسط)
في هذه الندوة عبر الويب ، سنناقش الاختراق الأخير لـ LastPass وما يمكننا معرفته حول هذا عند حماية حياتنا الرقمية (بما في ذلك مواقع WordPress الخاصة بنا) ، وسنقوم أيضًا بتقييم الحالة الحالية لكلمات المرور ومديري كلمات المرور والمصادقة الثنائية و أكثر حتى نتمكن من الانتقال إلى عام 2023 آمنًا.
سنتحدث أيضًا عن الحل المتمثل في وضع كلمات المرور خلفنا باستخدام مفاتيح المرور وحالة تنفيذ WebAuthn بواسطة عمالقة التكنولوجيا وكذلك iThemes Security.
دان كناوس هو اختصاصي المحتوى الفني في StellarWP. لقد كان كاتبًا ومدرسًا ومستقلًا يعمل في مصدر مفتوح منذ أواخر التسعينيات ومع WordPress منذ عام 2004.