इस प्रसिद्ध पासवर्ड मैनेजर ने इनमें से एक का अनुभव किया सबसे बड़ी डेटा लीक . हालांकि शुरुआत से ही उन्होंने यूजर्स को भरोसा दिलाया कि उनके पासवर्ड सुरक्षित हैं। सच तो यह है कि पिछले साल अगस्त में उन्हें जो हमला झेलना पड़ा, वह उनकी उम्मीद से कहीं ज्यादा खराब रहा है। किसी भी चीज़ से अधिक, क्योंकि कंप्यूटर हमलावर ने उपयोगकर्ता की जानकारी तक पहुँचने में कामयाबी हासिल की है।
यह विकल्प सबसे प्रसिद्ध विकल्पों में से एक था ताकि उपयोगकर्ता अपने प्रत्येक पासवर्ड को सुरक्षित रूप से स्टोर कर सकें। हालांकि, हैक होने के बाद से चीजें बदल गई हैं। खासकर जब से वे कामयाब भी हुए पासवर्ड वॉल्ट चुराने के लिए . हालाँकि, आप पहले से ही जानते हैं कि किस विधि का उपयोग किया गया था।
कैसे चोरी हुए पासवर्ड
सबसे पहले, सुरक्षा उल्लंघन का एहसास होने के बाद, जो कुछ भी हुआ था, उसकी जांच शुरू करने के बाद। से LastPass , उन्होंने सुनिश्चित किया कि इस बात का कोई सबूत नहीं था कि हैकर उनके डेटा या एन्क्रिप्टेड पासवर्ड वॉल्ट तक पहुंचने में सक्षम था।
हालांकि, महीनों बाद सबसे बुरे की पुष्टि की गई, कि वास्तव में, साइबर अपराधी कामयाब हो गया था संपूर्ण तिजोरी की एक प्रति डाउनलोड करने के लिए उन्होंने रखा। लेकिन यह कैसे हासिल किया गया? हम पहले से जानते हैं। लास्टपास पासवर्ड की चोरी को हमलावर ने एक कर्मचारी के पीसी तक पहुंच बनाकर संभव बनाया था। अधिक सटीक होने के लिए, हैकर ने DevOps इंजीनियर का कॉर्पोरेट लास्टपास वॉल्ट।
इस तरह, हमलावर सभी मूल लास्टपास वॉल्ट और इस कर्मचारी के पीसी पर साझा किए गए फ़ोल्डरों की सामग्री को निर्यात करने में सक्षम था। उनमें, आप कुछ पा सकते हैं ' AWS S3 LastPass उत्पादन तक पहुँचने के लिए आवश्यक एक्सेस और डिक्रिप्शन कुंजी के साथ एन्क्रिप्टेड सुरक्षित नोट्स बैकअप '.
तो हम हैकर के सक्षम होने के बारे में बात कर रहे हैं LastPass में सही तोड़ें और पासवर्ड प्रबंधक सुरक्षा के बिना इसके बारे में कुछ भी करने में सक्षम होने के बिना, बहुत से महत्वपूर्ण डेटा चोरी करते हैं।
लास्टपास एन्क्रिप्टेड डेटा
हालाँकि, जैसा कि हमने पिछले साल के दिसंबर में देखा था, जब लास्टपास ने दावा किया था कि चोरी किया गया एन्क्रिप्टेड डेटा अभी भी सुरक्षित था, क्योंकि उसके पास है 256-बिट एईएस एन्क्रिप्शन . सच्चाई यह है कि प्रबंधक के लिए मामला सामान्य रूप से अच्छा नहीं लगता है, क्योंकि साइबर अपराधियों ने महत्वपूर्ण डेटा का एक बड़ा हिस्सा ले लिया है।
सब कुछ इस बात पर निर्भर करेगा कि क्या हम वास्तव में लास्टपास पर भरोसा करते हैं। चूंकि, जैसा कि उन्होंने कहा है, यह केवल हो सकता है एक मास्टर पासवर्ड के साथ डिक्रिप्ट किया गया , जो उनके डेटाबेस में संग्रहीत नहीं है। इसलिए वे नहीं मिल सके। हालांकि, हैकर इस प्रभावित कर्मचारी का मास्टर पासवर्ड हासिल करने में सफल रहा।
इसलिए, यदि वे 256-बिट एईएस एन्क्रिप्शन को तोड़ने का प्रबंधन करते हैं, लास्टपास में इस्तेमाल होने वाले मास्टर पासवर्ड को बदलना होगा , विभिन्न साइटों के सभी पासवर्डों के अलावा जिन्हें हम इस विशेष प्लेटफॉर्म के साथ प्रबंधित कर रहे हैं। इसलिए यदि आप इस प्रबंधक का उपयोग जारी रखना चाहते हैं तो आपको इस पर पूरा ध्यान देना होगा।
