LastPass पुष्टि करता है कि हैकर्स ने एन्क्रिप्टेड पासवर्ड वॉल्ट चुरा लिए हैं ... चार महीने पहले

हमारे सभी पासवर्डों पर नज़र रखना एक कठिन काम है, विशेष रूप से क्योंकि उन्हें कई खातों में फिर से उपयोग करना एक बुरा अभ्यास है, वे भी मजबूत और अनुमान लगाने में कठिन होने चाहिए। हमारा सबसे अच्छा समाधान एक पासवर्ड मैनेजर का उपयोग करना है, इस तरह हम मजबूत और अनुमान लगाने में मुश्किल पासवर्ड प्राप्त कर सकते हैं और हम उन सभी को याद रखने की परेशानी से बच सकते हैं (जो कि मैं नहीं कर सकता), वे सभी एक ही स्थान पर हैं, लेकिन यदि आपके पासवर्ड मैनेजर में सुरक्षा भंग होती है और आपका पासवर्ड वॉल्ट लीक हो जाता है तो क्या होगा? वह चार महीने पहले हुआ था और वे अभी आपको बता रहे हैं।

क्या हो रहा था इसका एक त्वरित पुनर्कथन

25 अगस्त, 2022

लास्टपास ने एक आधिकारिक नोट पोस्ट किया कि उन्होंने दो हफ्ते पहले एक असामान्य गतिविधि देखी थी और इसकी जांच शुरू कर दी थी, लेकिन किसी भी ग्राहक डेटा तक पहुंच का कोई सबूत नहीं था। जाहिर है, हमलावर के पास विकास पर्यावरण के माध्यम से केवल स्रोत कोड के एक हिस्से तक पहुंच थी।

15 सितंबर, 2022

उन्होंने मैंडिएंट टीम के साथ अपनी जांच और फोरेंसिक पूरी कर ली थी, जांच पूरी करने के बाद उन्होंने निष्कर्ष निकाला कि हमलावरों की गतिविधि अगस्त में 4 दिन की समय सीमा तक सीमित थी और टीम ने घटना को रोकने के लिए तत्परता दिखाई थी।

साथ ही उनकी जांच के अनुसार, उल्लंघन विकास के माहौल में हुआ, जिसकी तकनीकी रूप से ग्राहकों के डेटा या पासवर्ड वॉल्ट तक कोई पहुंच नहीं है।

यहां तक कि उपयोगकर्ताओं के एन्क्रिप्टेड पासवर्ड वॉल्ट तक पहुंच होने के बावजूद, उपयोगकर्ता के मास्टर पासवर्ड के बिना कुछ भी नहीं किया जा सकता है, जो उनके शून्य-ज्ञान सुरक्षा मॉडल का हिस्सा है (हालांकि उस अंतिम वाक्य को ध्यान में रखें)

30 नवंबर, 2022

अपनी पारदर्शिता प्रतिबद्धता के हिस्से के रूप में, उन्होंने उल्लंघन की स्थिति में एक अपडेट जोड़ा, जिसमें कहा गया कि उन्होंने तृतीय-पक्ष क्लाउड स्टोरेज सेवा पर असामान्य गतिविधि देखी, जिसे LastPass और GoTo दोनों द्वारा साझा किया गया है, और फिर से, उन्होंने मैंडिएंट के साथ एक जांच शुरू की टीम।

इस बार उन्होंने कहा कि अगस्त में हुआ उल्लंघन वास्तव में हमलावर को ग्राहकों की जानकारी के "कुछ तत्वों" तक पहुंच प्रदान करता है, लेकिन सभी पासवर्ड सुरक्षित हैं, फिर से, उनके शून्य-ज्ञान सुरक्षा मॉडल के कारण।

अभी क्या हो रहा है?

दिन है 22 दिसंबर, 2022, लास्टपास लोगों के सामने यह बताने आया कि अगस्त के सुरक्षा उल्लंघन पर हमलावर कंपनी का नाम, एंड-यूज़र नाम, ईमेल, बिलिंग पते, टेलीफोन नंबर सहित व्यक्तिगत रूप से पहचान योग्य जानकारी प्राप्त करने में सक्षम था। और IP पते, साथ ही, इसके लिए प्रतीक्षा करें, Password Vaults । 🤯

लास्टपास के अनुसार, आपका पासवर्ड वॉल्ट पूरी तरह से सुरक्षित है और इसे क्रैक नहीं किया जा सकता है, यह देखते हुए कि आपने मास्टर-पासवर्ड निर्माण को सुरक्षित करने के लिए उनके सभी दिशानिर्देशों का पालन किया है।

फिलहाल इस बात का कोई सबूत नहीं है कि कोई भी अनएन्क्रिप्टेड क्रेडिट कार्ड डेटा लीक हो गया था, जो इस बिंदु पर मेरी चिंता है क्योंकि उन्हें यह कहते हुए जनता के सामने आने में 4 महीने लग गए कि पीआईआई और पासवर्ड वॉल्ट हमलावरों के हाथों में हैं।

आप घटना की पूरी सूचना यहां देख सकते हैं

मेरे पासवर्ड कितने सुरक्षित हैं?

यदि आपने पासवर्ड बनाने के लिए लास्टपास की पूरी गाइडलाइन का पालन किया है, तो आप शायद सुरक्षित हैं, हमलावर प्रक्रिया को तेज करने के लिए पहले से ही लीक हुए पासवर्ड के अरबों शब्दकोशों का उपयोग करना शुरू कर देंगे (RockYou2021 डिक्शनरी में अविश्वसनीय 8.4 बिलियन पासवर्ड हैं)।

हमलावर आपके पासवर्ड को क्रूर करने का भी प्रयास कर सकते हैं, लेकिन अगर आपको लगता है कि इसमें उन्हें वास्तव में लंबा समय लगेगा, तो फिर से सोचें। जैसे-जैसे तकनीक विकसित होती है, यह पासवर्ड क्रैक करने के समय को भी कम कर देता है, RTX 3090 और RTX 4090 के बीच की छलांग लगभग हर एल्गोरिथम के लिए लगभग 2x है।

आप सोच रहे होंगे कि जटिल पासवर्ड को क्रैक करने में किसी को कितना समय लगेगा, किसी ने वास्तव में परीक्षण किया कि सबसे हाल के हार्डवेयर के साथ, उन्होंने RTX 4090 8-कार्ड रिग का उपयोग किया और अत्यधिक जटिल 8 अंकों के पासवर्ड को क्रैक करने में सक्षम थे इस BitDefender article के अनुसार, हैशकैट का उपयोग करते हुए 48 मिनट में।

इसलिए यह सुनिश्चित करने के लिए कि आपके खाते सुरक्षित हैं, अत्यधिक अनुशंसा की जाती है कि आप अपने मास्टर पासवर्ड सहित लास्टपास के भीतर संग्रहीत सभी खातों के पासवर्ड बदल दें।