LastPass ໄດ້ຖືກແຮັກເປັນຄັ້ງທີສອງໃນສາມເດືອນ. ມັນຖືກນໍາໃຊ້ໂດຍຫຼາຍກ່ວາ 30 ລ້ານຄົນໃນທົ່ວໂລກ. ຜູ້ຈັດການລະຫັດຜ່ານ LastPass ຍອມຮັບວ່າແຮກເກີໄດ້ລັກເຂົ້າລະຫັດລັບຂອງລະຫັດຜ່ານຂອງຜູ້ໃຊ້ແລະຂໍ້ມູນລະອຽດອ່ອນອື່ນໆ, ລວມທັງທີ່ຢູ່ໃບບິນ, ເບີໂທລະສັບແລະທີ່ຢູ່ IP ຂອງຜູ້ໃຊ້. ໃນຕອນທໍາອິດ, ລະບົບໄດ້ຖືກ hacked ກັບຄືນໄປບ່ອນໃນເດືອນສິງຫາ, ໃນທ້າຍເດືອນພະຈິກ - ໃນຕົ້ນເດືອນທັນວາ, ຂໍ້ມູນກ່ຽວກັບສິ່ງທີ່ຂໍ້ມູນຖືກລັກປາກົດ, ແລະໃນປັດຈຸບັນ blog ຂອງບໍລິສັດໄດ້ເຜີຍແຜ່ລາຍລະອຽດ.
ຜູ້ຈັດການລະຫັດຜ່ານ LastPass ໄດ້ຖືກແຮັກ, ເຊິ່ງພິສູດໃຫ້ເຫັນວ່າປະສົບຜົນສໍາເລັດຫຼາຍສໍາລັບແຮກເກີເອງ, ພວກເຂົາເຈົ້າສາມາດເຂົ້າຫາຂໍ້ມູນຂອງຜູ້ໃຊ້ໄດ້, ແຕ່ມັນຍັງບໍ່ທັນຮູ້ວ່າແມ່ນຫຍັງແນ່ນອນ. ມັນເປັນໄປໄດ້ວ່າໃນປັດຈຸບັນເຂົາເຈົ້າມີການເຂົ້າເຖິງລະຫັດຜ່ານທີ່ຜູ້ໃຊ້ຂອງບໍລິການເກັບຮັກສາໃນໂປຣໄຟລ໌ຂອງເຂົາເຈົ້າ.
ຂໍ້ມູນກ່ຽວກັບການ hack LastPass ແລະການປະນີປະນອມຂອງຂໍ້ມູນຜູ້ໃຊ້ຍັງໄດ້ຮັບການຢືນຢັນໂດຍຜູ້ຕາງຫນ້າຂອງບໍລິການຕົວມັນເອງ. ຢ່າງໃດກໍຕາມ, ພວກເຂົາເຈົ້າປິດບັງທັງຂອບເຂດຂອງການຮົ່ວໄຫລແລະລັກສະນະຂອງຂໍ້ມູນທີ່ສິ້ນສຸດລົງຢູ່ໃນມືຂອງຜູ້ໂຈມຕີ, ດັ່ງນັ້ນໃນປັດຈຸບັນຜູ້ໃຊ້ LastPass ທັງຫມົດໂດຍບໍ່ມີຂໍ້ຍົກເວັ້ນ, ເຊິ່ງແມ່ນລ້ານຄົນທົ່ວໂລກມີຄວາມສ່ຽງ. ອີງຕາມການປະຕູ EarthWeb, ມາຮອດເດືອນຕຸລາ 2022, ຖານຜູ້ໃຊ້ LastPass ມີ 33 ລ້ານຄົນ.
ໃນເວລາທີ່ອຸປະກອນການໄດ້ຖືກປ່ອຍອອກມາ, ຜູ້ຕາງຫນ້າ LastPass ບໍ່ໄດ້ຢືນຢັນ, ແຕ່ບໍ່ໄດ້ປະຕິເສດການຮົ່ວໄຫລຂອງລະຫັດຜ່ານຂອງຜູ້ໃຊ້ທີ່ຢູ່ໃນບ່ອນເກັບມ້ຽນອອນໄລນ໌ສ່ວນບຸກຄົນຂອງພວກເຂົາ. ຢ່າງໃດກໍ່ຕາມ, ມີຄວາມສ່ຽງທີ່ຈະເປັນຜົນມາຈາກການໂຈມຕີຂອງແຮກເກີ. ນອກຈາກນັ້ນ, ການຄໍານຶງເຖິງຄວາມຈິງທີ່ວ່າ LastPass ໄດ້ອະນຸຍາດໃຫ້ລະຫັດຜ່ານທີ່ຈະຮົ່ວໄຫລຫຼາຍກ່ວາຫນຶ່ງຄັ້ງໃນ 14 ປີຂອງມັນ, ຄວາມສ່ຽງໃນກໍລະນີນີ້ແມ່ນສູງ.
ຂ້ອຍຈະເຮັດແນວໃດ?
ສິ່ງທໍາອິດທີ່ຜູ້ໃຊ້ຕ້ອງເຮັດຄືການເບິ່ງວ່າລະຫັດຜ່ານໃດຖືກເກັບໄວ້ໃນເມຄແລະປ່ຽນພວກມັນໄວເທົ່າທີ່ເປັນໄປໄດ້ກ່ອນທີ່ຜູ້ໂຈມຕີຈະໄປຫາພວກເຂົາໂດຍສະເພາະ. ສໍາລັບຕົວຢ່າງ, ປະຊາຊົນຈໍານວນຫຼາຍບັນທຶກລະຫັດຜ່ານຈາກທະນາຄານອິນເຕີເນັດຫຼືອີເມລ໌ຂອງບໍລິສັດໃນຜູ້ຈັດການດັ່ງກ່າວ.
ຂັ້ນຕອນທີສອງແມ່ນການຊອກຫາ, ຖ້າຫາກວ່າບໍ່ແມ່ນການທົດແທນ LastPass, ຫຼັງຈາກນັ້ນຢ່າງຫນ້ອຍຜູ້ຈັດການລະຫັດຜ່ານສໍາຮອງຂໍ້ມູນຈາກບັນດາຜູ້ທີ່ເຮັດວຽກອອຟໄລ. ໂປລແກລມດັ່ງກ່າວເກັບຮັກສາຖານຂໍ້ມູນຂອງລະຫັດຜ່ານໂດຍກົງໃນອຸປະກອນຂອງຜູ້ໃຊ້ (ມັກຈະຢູ່ໃນຮູບແບບທີ່ຖືກເຂົ້າລະຫັດ), ເຊິ່ງຊ່ວຍຫຼຸດຜ່ອນຄວາມສ່ຽງຕໍ່ການຮົ່ວໄຫລຂອງເນື້ອຫາຂອງມັນ.
ຜູ້ຈັດການລະຫັດຜ່ານອະນຸຍາດໃຫ້ຜູ້ໃຊ້ສາມາດເກັບຮັກສາຊື່ຜູ້ໃຊ້ແລະລະຫັດຜ່ານຂອງເຂົາເຈົ້າຢູ່ໃນເວັບໄຊທ໌ທີ່ແຕກຕ່າງກັນຢູ່ໃນສະຖານທີ່ດຽວ - ເຂົ້າເຖິງດ້ວຍລະຫັດຜ່ານຕົ້ນສະບັບທີ່ສ້າງໂດຍຜູ້ໃຊ້. Last Pass ບໍ່ໄດ້ເກັບ ຫຼືຖິ້ມລະຫັດຜ່ານຫຼັກ. ຂໍ້ມູນທີ່ຖືກເຂົ້າລະຫັດອື່ນສາມາດດຶງຂໍ້ມູນໄດ້ໂດຍໃຊ້ "ລະຫັດການເຂົ້າລະຫັດທີ່ເປັນເອກະລັກທີ່ໄດ້ມາຈາກລະຫັດຜ່ານຫຼັກຂອງຜູ້ໃຊ້". ຢ່າງໃດກໍຕາມ, ບໍລິສັດໄດ້ເຕືອນລູກຄ້າວ່າພວກເຂົາສາມາດຕົກເປັນເຫຍື່ອຂອງວິສະວະກໍາສັງຄົມ, phishing ແລະວິທີການອື່ນໆຂອງການໄດ້ຮັບຂໍ້ມູນ. ນອກຈາກນັ້ນ, ແຮກເກີສາມາດໃຊ້ການໂຈມຕີແບບບັງເອີນເພື່ອຮັບເອົາລະຫັດຜ່ານຫຼັກ ແລະຖອດລະຫັດຂໍ້ມູນອື່ນໆທີ່ຢູ່ໃນບ່ອນເກັບມ້ຽນທີ່ເຂົ້າລະຫັດໄວ້. ຢ່າງໃດກໍຕາມ, LastPass ອ້າງວ່າມັນຈະໃຊ້ເວລາຜູ້ໂຈມຕີ "ຫຼາຍລ້ານປີ" ເພື່ອເດົາລະຫັດຜ່ານໂດຍໃຊ້ເຕັກນິກການ hack ສາທາລະນະ.
ບໍລິສັດກ່າວວ່າ Mandiant, ບໍລິສັດທີ່ສະຫນອງຄວາມປອດໄພທາງອິນເຕີເນັດ, ກໍາລັງສືບສວນເຫດການດັ່ງກ່າວ, ແລະ LastPass ຕົວຂອງມັນເອງກໍ່ສ້າງສະພາບແວດລ້ອມການເຮັດວຽກທັງຫມົດ - ນີ້ຊີ້ໃຫ້ເຫັນໂດຍທາງອ້ອມວ່າແຮກເກີໄດ້ຮັບລະຫັດທີ່ສໍາຄັນແລະຂໍ້ມູນອື່ນໆ.
LastPass ຍັງກ່າວວ່າການສືບສວນແມ່ນສືບຕໍ່, ແລະບໍລິສັດໄດ້ແຈ້ງໃຫ້ຜູ້ບັງຄັບໃຊ້ກົດຫມາຍແລະຜູ້ຄວບຄຸມທີ່ກ່ຽວຂ້ອງກ່ຽວກັບເຫດການດັ່ງກ່າວ. ນາງເອງແນະນໍາໃຫ້ຜູ້ໃຊ້ເຮັດໃຫ້ລະຫັດຜ່ານຕົ້ນສະບັບບໍ່ສັ້ນກວ່າ 12 ຕົວອັກສອນ, ເພື່ອປ່ຽນການຕັ້ງຄ່າຂອງມາດຕະຖານການສ້າງລະຫັດລະຫັດລັບ (PBKDF2) ແລະແນ່ນອນ, ບໍ່ໃຫ້ໃຊ້ລະຫັດຜ່ານຕົ້ນສະບັບຢູ່ໃນເວັບໄຊທ໌ອື່ນໆ. ລາຍລະອຽດເພີ່ມເຕີມແມ່ນໃຫ້ຄໍາແນະນໍາໃນປະຈຸບັນ ໃນ blog ການບໍລິການ.
ທ່ານສາມາດຊ່ວຍ Ukraine ຕໍ່ສູ້ຕ້ານກັບ invaders ລັດເຊຍ. ວິທີທີ່ດີທີ່ສຸດເພື່ອເຮັດສິ່ງນີ້ແມ່ນການບໍລິຈາກເງິນທຶນໃຫ້ກອງປະກອບອາວຸດຂອງ Ukraine ໂດຍຜ່ານການ ຊ່ວຍຊີວິດ ຫຼືຜ່ານຫນ້າທາງການ NBU.