LastPass сүүлийн гурван сарын хугацаанд хоёр дахь удаагаа хакердлаа. Үүнийг дэлхий даяар 30 сая гаруй хүн ашигладаг. Нууц үгийн менежер LastPass хакерууд хэрэглэгчийн нууц үг болон хэрэглэгчийн төлбөрийн хаяг, утасны дугаар, IP хаяг зэрэг нууц үгийн шифрлэгдсэн хуулбарыг хулгайлсан болохыг хүлээн зөвшөөрсөн байна. Эхлээд -р сард, -р сарын сүүлчээр буюу -р сарын эхээр системийг хакердсан бөгөөд ямар мэдээлэл хулгайлагдсан тухай мэдээлэл гарч ирсэн бөгөөд одоо компанийн блог дэлгэрэнгүй мэдээллийг нийтэлсэн байна.
Нууц үгийн менежер LastPass-ыг хакердсан бөгөөд энэ нь хакеруудын хувьд маш амжилттай болсон нь тэд хэрэглэгчийн мэдээлэлд нэвтэрч чадсан боловч яг юу болохыг хараахан мэдэхгүй байна. Тэд одоо үйлчилгээний дэлгүүрийн хэрэглэгчдийн профайл дахь нууц үгэнд хандах боломжтой болсон байх.
LastPass хакердсан болон хэрэглэгчийн мэдээлэл алдагдсан талаарх мэдээллийг тус үйлчилгээний төлөөлөгчид мөн баталжээ. Гэсэн хэдий ч тэд халдагчдын гарт орсон мэдээллийн мөн чанарыг сайтар нууж байгаа тул дэлхий даяар сая сая хүмүүс болох бүх LastPass хэрэглэгчид эрсдэлд орж байна. EarthWeb порталын мэдээлснээр, 2022 оны 33-р сарын байдлаар LastPass хэрэглэгчийн бааз сая хүнтэй болжээ.
Материал гарах үед LastPass-ийн төлөөлөгчид хувийн онлайн хадгалах санд байгаа хэрэглэгчдийн нууц үг алдагдсаныг батлаагүй ч үгүйсгээгүй. Гэсэн хэдий ч хакерын халдлагад яг ийм үр дүн гарах эрсдэлтэй. Нэмж дурдахад, LastPass нь 14 жилийн хугацаанд нэгээс олон удаа нууц үг задруулахыг зөвшөөрч байсныг харгалзан үзвэл энэ тохиолдолд эрсдэл өндөр байна.
Би юу хийх ёстой?
Хэрэглэгчдийн хийх ёстой хамгийн эхний зүйл бол үүлэн дотор ямар нууц үг хадгалагдаж байгааг харж, халдагчид тусгайлан нэвтрэхээс өмнө тэдгээрийг аль болох хурдан өөрчлөх явдал юм. Жишээлбэл, олон хүмүүс интернет банк эсвэл корпорацийн цахим шуудангийн нууц үгийг ийм менежерүүдэд хадгалдаг.
Хоёрдахь алхам бол LastPass-ийг орлуулах биш бол офлайнаар ажилладаг хүмүүсээс ядаж нөөц нууц үгийн менежер олох явдал юм. Ийм программууд нь нууц үгийн мэдээллийн санг хэрэглэгчийн төхөөрөмж дээр (ихэвчлэн шифрлэгдсэн хэлбэрээр) шууд хадгалдаг бөгөөд энэ нь түүний агуулгыг задруулах эрсдэлийг эрс бууруулдаг.
Нууц үгийн менежерүүд нь хэрэглэгчид өөрсдийн хэрэглэгчийн нэр, нууц үгээ өөр өөр сайт дээр нэг дор хадгалах боломжийг олгодог - хэрэглэгчийн үүсгэсэн мастер нууц үгээр ханддаг. Last Pass нь үндсэн нууц үгийг хадгалахгүй эсвэл устгадаггүй. Бусад шифрлэгдсэн өгөгдлийг зөвхөн "хэрэглэгчийн үндсэн нууц үгээс олж авсан өвөрмөц шифрлэлтийн түлхүүр" ашиглан олж авах боломжтой. Гэсэн хэдий ч тус компани үйлчлүүлэгчдэдээ нийгмийн инженерчлэл, фишинг болон бусад мэдээлэл олж авах аргуудын хохирогч болж болзошгүйг анхааруулав. Нэмж дурдахад, хакерууд үндсэн нууц үгийг олж авах, шифрлэгдсэн хадгалах санд байгаа бусад өгөгдлийг тайлахын тулд харгис хүчний халдлагыг ашиглаж болно. Гэсэн хэдий ч, LastPass халдагчид олон нийтэд нээлттэй хакердах арга техникийг ашиглан нууц үгээ таахад "сая сая жил" шаардлагатай гэж мэдэгджээ.
Тус компани кибер аюулгүй байдлыг хангадаг Mandiant компани энэ хэргийг шалгаж байгаа бөгөөд LastPass өөрөө ажлын орчныг бүхэлд нь сэргээн засварлаж байгаа нь хакерууд код болон бусад өгөгдлийг ихээхэн хэмжээгээр олж авсныг шууд бусаар харуулж байна.
LastPass мөн мөрдөн байцаалтын ажиллагаа үргэлжилж байгаа бөгөөд тус компани энэ үйл явдлын талаар хууль сахиулах болон холбогдох зохицуулагчдад мэдэгдсэн байна. Тэрээр өөрөө хэрэглэгчдэд мастер нууц үгээ 12 тэмдэгтээс богиногүй болгох, Нууц үгэнд суурилсан түлхүүр гаргах функцийн (PBKDF2) түлхүүр үүсгэх стандартын тохиргоог өөрчлөх, мэдээжийн хэрэг, бусад сайтад үндсэн нууц үгээ ашиглахгүй байхыг зөвлөж байна. Одоогийн байдлаар илүү нарийвчилсан зөвлөмжийг өгсөн болно үйлчилгээний блогт.
Та Украинд Оросын түрэмгийлэгчдийн эсрэг тэмцэхэд тусалж чадна. Үүнийг хийх хамгийн сайн арга бол Украины Зэвсэгт хүчинд мөнгө хандивлах явдал юм Амьдралыг аврах эсвэл албан ёсны хуудсаар дамжуулан NBU.