LastPass ถูกแฮ็กเป็นครั้งที่สองในรอบสามเดือน มีผู้ใช้มากกว่า 30 ล้านคนทั่วโลก ผู้จัดการรหัสผ่าน LastPass รับทราบว่าแฮ็กเกอร์ขโมยสำเนารหัสผ่านของผู้ใช้ที่เข้ารหัสและข้อมูลที่ละเอียดอ่อนอื่นๆ รวมถึงที่อยู่สำหรับการเรียกเก็บเงิน หมายเลขโทรศัพท์ และที่อยู่ IP ของผู้ใช้ ในตอนแรกระบบถูกแฮ็กในเดือนสิงหาคม ปลายเดือนพฤศจิกายน - ต้นเดือนธันวาคม ข้อมูลเกี่ยวกับข้อมูลที่ถูกขโมยปรากฏขึ้น และตอนนี้บล็อกของ บริษัท ได้เผยแพร่รายละเอียดแล้ว
ตัวจัดการรหัสผ่าน LastPass ถูกแฮ็ก ซึ่งพิสูจน์แล้วว่าประสบความสำเร็จอย่างมากสำหรับแฮ็กเกอร์เอง พวกเขาจัดการเพื่อเข้าถึงข้อมูลของผู้ใช้ แต่ยังไม่ทราบว่าคืออะไรกันแน่ มีแนวโน้มว่าพวกเขาสามารถเข้าถึงรหัสผ่านที่ผู้ใช้บริการเก็บไว้ในโปรไฟล์ได้แล้ว
ข้อมูลเกี่ยวกับการแฮ็ค LastPass และการประนีประนอมข้อมูลผู้ใช้ยังได้รับการยืนยันจากตัวแทนของบริการเอง อย่างไรก็ตาม พวกเขาซ่อนทั้งขอบเขตของการรั่วไหลและลักษณะของข้อมูลที่ตกไปอยู่ในมือของผู้โจมตีอย่างระมัดระวัง ดังนั้นสำหรับผู้ใช้ LastPass ทุกคนโดยไม่มีข้อยกเว้น ซึ่งเป็นผู้คนหลายล้านคนทั่วโลก กำลังตกอยู่ในความเสี่ยง ตามพอร์ทัล EarthWeb ณ เดือนตุลาคม 2022 ฐานผู้ใช้ LastPass มีจำนวน 33 ล้านคน
เมื่อถึงเวลาที่เผยแพร่เนื้อหาตัวแทนของ LastPass ไม่ได้ยืนยัน แต่ไม่ได้ปฏิเสธการรั่วไหลของรหัสผ่านของผู้ใช้ที่อยู่ในที่เก็บข้อมูลออนไลน์ส่วนตัวของพวกเขา อย่างไรก็ตามมีความเสี่ยงจากการโจมตีของแฮ็กเกอร์ นอกจากนี้ เมื่อคำนึงถึงข้อเท็จจริงที่ว่า LastPass ปล่อยให้รหัสผ่านรั่วไหลมากกว่าหนึ่งครั้งในรอบ 14 ปีที่มีอยู่ ความเสี่ยงในกรณีนี้จึงสูง
ฉันควรทำอะไร?
สิ่งแรกที่ผู้ใช้ต้องทำคือดูว่ารหัสผ่านใดถูกจัดเก็บไว้ในระบบคลาวด์และเปลี่ยนรหัสผ่านโดยเร็วที่สุดก่อนที่ผู้โจมตีจะเข้าถึงรหัสผ่านนั้นโดยเฉพาะ ตัวอย่างเช่น หลายคนบันทึกรหัสผ่านจากธนาคารทางอินเทอร์เน็ตหรืออีเมลองค์กรในผู้จัดการดังกล่าว
ขั้นตอนที่สองคือการค้นหา หากไม่ใช่สิ่งที่มาแทนที่ LastPass อย่างน้อยก็ต้องมีผู้จัดการรหัสผ่านสำรองจากบรรดาผู้ที่ทำงานแบบออฟไลน์ โปรแกรมดังกล่าวจัดเก็บฐานข้อมูลของรหัสผ่านโดยตรงบนอุปกรณ์ของผู้ใช้ (มักจะอยู่ในรูปแบบการเข้ารหัส) ซึ่งช่วยลดความเสี่ยงที่เนื้อหาจะรั่วไหลได้อย่างมาก
ผู้จัดการรหัสผ่านอนุญาตให้ผู้ใช้จัดเก็บชื่อผู้ใช้และรหัสผ่านในเว็บไซต์ต่างๆ ในที่เดียว เข้าถึงได้ด้วยรหัสผ่านหลักที่ผู้ใช้สร้างขึ้น Last Pass ไม่เก็บหรือทิ้งรหัสผ่านหลัก ข้อมูลที่เข้ารหัสอื่น ๆ สามารถเรียกคืนได้โดยใช้ "คีย์เข้ารหัสเฉพาะที่ได้รับจากรหัสผ่านหลักของผู้ใช้" เท่านั้น อย่างไรก็ตาม บริษัทเตือนลูกค้าว่าพวกเขาอาจตกเป็นเหยื่อของวิศวกรรมสังคม ฟิชชิ่ง และวิธีการอื่นๆ ในการรับข้อมูล นอกจากนี้ แฮ็กเกอร์สามารถใช้การโจมตีแบบเดรัจฉานเพื่อขอรับรหัสผ่านหลักและถอดรหัสข้อมูลอื่น ๆ ที่อยู่ในที่จัดเก็บข้อมูลที่เข้ารหัส อย่างไรก็ตาม LastPass อ้างว่าผู้โจมตีจะใช้เวลา "หลายล้านปี" ในการเดารหัสผ่านโดยใช้เทคนิคการแฮ็กที่เปิดเผยต่อสาธารณะ
บริษัทกล่าวว่า Mandiant ซึ่งเป็นบริษัทที่ให้บริการความปลอดภัยในโลกไซเบอร์กำลังตรวจสอบเหตุการณ์ดังกล่าว และ LastPass เองก็กำลังสร้างสภาพแวดล้อมการทำงานใหม่ทั้งหมด ซึ่งเป็นการบ่งชี้ทางอ้อมว่าแฮ็กเกอร์เข้าถึงโค้ดและข้อมูลอื่นๆ ที่สำคัญ
LastPass ยังกล่าวอีกว่าการสอบสวนยังดำเนินอยู่ และบริษัทได้แจ้งการบังคับใช้กฎหมายและหน่วยงานกำกับดูแลที่เกี่ยวข้องเกี่ยวกับเหตุการณ์ดังกล่าว ตัวเธอเองแนะนำให้ผู้ใช้สร้างรหัสผ่านหลักที่มีความยาวไม่เกิน 12 อักขระ เพื่อเปลี่ยนการตั้งค่ามาตรฐานการสร้างคีย์ของ Password-Based Key Derivation Function (PBKDF2) และแน่นอนว่าห้ามใช้รหัสผ่านหลักในเว็บไซต์อื่น คำแนะนำปัจจุบันโดยละเอียดเพิ่มเติมจะได้รับ ในบล็อกบริการ.
คุณสามารถช่วยยูเครนต่อสู้กับผู้รุกรานรัสเซีย วิธีที่ดีที่สุดคือบริจาคเงินให้กับกองทัพยูเครนผ่าน เซฟไลฟ์ หรือทางเพจอย่างเป็นทางการ NBU.