هل تعلم أنة تم اختراق منصة LastPass لحفظ كلمات السر في عملية اختراق "مجهولة"
في الأسابيع الماضية، تم اختراق منصة LastPass لحفظ كلمات السر في عملية اختراق "مجهولة"، واكتفت LastPass بالاعتذار للمستخدمين وانتظار المزيد من التفاصيل عن العملية. وأكدت أن الاختراق أدى لتسريب كلمات السر لبعض المستخدمين.
لكن كيف حدث هذا الاختراق؟ المزيد من التفاصيل تم كشفها مؤخرا.
أحد الأشخاص الذين تجاهلو الطلب كان مهندس DevOps في شركة LastPass، وليس أي مهندس، بل واحد من أصل أربعة مطورين لديهم (LastPass-generated decryption keys) التي تخول لهم الوصول إلى بيانات المستخدمين.
استطاع الهاكر باستخدام Plex وباستغلال الاختراق السابق (وبطريقة لم يتم الكشف عنها) أن يصل إلى الجهاز الشخصي للمهندس، وتنصيب برمجية Keylogger داخله. لسوء حظ المهندس كان يستغل القوة المخولة له للوصول إلى بعض بيانات المستخدمين أيضا، فاستغل الهاكر هذا الأمر واستطاع عبر الـ Keylogger سحب بيانات الولوج وباستخدام بعض البرمجيات استطاع تجاوز العوائق الأمنية مثل الـ Mutli Factor Authentications في جهاز المهندس ليصل تقريبا لكل حساباته وبياناته من بينها الباسوورد الرئيسي (Master Password) للخزنة السحابية لكلمات السر للمستخدمين في شركة LastPass.
المدير التنفيذي خرج في تصريح أخير حول هذا الاختراق الذي حدث في الـ 22 من ديسمبر، اعتذر فيه للمستخدمين لعدم توضيح الأمور في اليوم الأول، وأعلن أن الشركة ستتخذ إجراءات تكنولوجية جديدة في مجال الحماية لتجاوز مثل هذا النوع من الأخطاء.
