पासवर्ड प्रबंधक सेवा, लास्टपास की मूल कंपनी, जिसने 2022 के अंत में खुलासा किया कि इसके संपूर्ण पासवर्ड वॉल्ट ग्राहक आधार अब अपराधियों के हाथों में थे, ने घोषणा की है कि इसके कुछ अन्य उत्पादों के लिए एन्क्रिप्शन कुंजियाँ दी गई हैं समझौता भी किया।
इसके उपयोगकर्ताओं के लिए इसका क्या अर्थ है?
2022 लास्टपास डेटा ब्रीच क्या था?
लास्टपास और उसके ग्राहकों के लिए 2022 में सबसे अच्छा साल नहीं रहा। अगस्त में, कंपनी ने कम घोषणा की ब्लॉग भेजा कि अपराधियों ने लास्टपास विकास पर्यावरण, स्रोत कोड और तकनीकी जानकारी तक पहुंच बनाई थी। भाषा आश्वस्त करने वाली थी, और "असामान्य गतिविधि" और घटना को "एक विकास" के रूप में संदर्भित किया गया था। एक एफएक्यू अनुभाग ने ग्राहकों को आश्वस्त किया कि उनके वाल्ट, पासवर्ड और मास्टर पासवर्ड सुरक्षित थे, जबकि उन्होंने कहा, "हम अपने उपयोगकर्ताओं या प्रशासकों की ओर से किसी भी कार्रवाई की अनुशंसा नहीं करते हैं"।
एक महीने बाद, मैंडियंट के साथ साझेदारी में एक जांच के बाद, लास्टपास उपयोगकर्ताओं को और अधिक आराम देने के लिए मूल ब्लॉग पोस्ट को अपडेट किया गया था कि वहाँ था, "कोई सबूत नहीं है कि इस घटना में ग्राहक डेटा या एन्क्रिप्टेड पासवर्ड वॉल्ट तक कोई पहुंच शामिल है", और इसके साथ उपयोगकर्ताओं को संरक्षण दिया स्वीकारोक्ति है कि, "किसी भी प्रकार की सुरक्षा घटनाएं परेशान करने वाली हैं लेकिन [हम] आपको आश्वस्त करना चाहते हैं कि आपका व्यक्तिगत डेटा और पासवर्ड हमारे पास सुरक्षित हैं देखभाल।"
हालाँकि, नवंबर 2022 के अंत में, ब्लॉग को फिर से अपडेट किया गया था, एक स्वीकारोक्ति में कि घुसपैठियों ने "हमारे ग्राहकों की जानकारी के कुछ तत्वों" को बंद करने में कामयाबी हासिल की थी।
आखिरकार, दिसंबर 2022 के अपडेट में, लास्टपास का स्वामित्व था इस तथ्य के लिए कि अपराधी लाखों ग्राहकों के व्यक्तिगत डेटा वाल्टों की चोरी करने में कामयाब रहे, जिसमें अनएन्क्रिप्टेड वेबसाइट यूआरएल और साइट के नाम शामिल थे, साथ ही साथ एन्क्रिप्टेड उपयोगकर्ता नाम और पासवर्ड, ग्राहक के नाम, पते और फोन नंबर, ईमेल पते, आईपी पते और आंशिक क्रेडिट कार्ड सहित बैकअप डेटा के साथ नंबर।
फिर से, लास्टपास ने यह कहते हुए प्रतिष्ठित क्षति को रोकने की मांग की, "आम तौर पर उपलब्ध पासवर्ड-क्रैकिंग तकनीक का उपयोग करके आपके मास्टर पासवर्ड का अनुमान लगाने में लाखों साल लगेंगे।"
लास्टपास यूजर्स के लिए इससे भी बुरा?
लास्टपास एक है GoTo के स्वामित्व वाली स्वतंत्र कंपनी (एक SaaS प्रदाता, जिसे पहले LogMeIn के नाम से जाना जाता था), और जबकि LastPass ब्रीच ने सबसे अधिक कमाई की है ध्यान दें, प्रारंभिक पैठ तृतीय-पक्ष क्लाउड स्टोरेज सेवा की थी, जिसका उपयोग GoTo और दोनों द्वारा किया जाता है लास्ट पास। जैसा कि लास्टपास से समझौता किया गया था, वैसे ही गोटो भी था। थ्रेट एक्टर्स दोनों कंपनियों के एन्क्रिप्टेड बैकअप को एक्सफिल्टर करने में कामयाब रहे।
23 जनवरी 2023 को, GoTo ने अपने ब्लॉग पर एक बयान जारी किया यह कहते हुए कि इसके पास "साक्ष्य है कि एक खतरे वाले अभिनेता ने एन्क्रिप्टेड बैकअप के एक हिस्से के लिए एक एन्क्रिप्शन कुंजी का बहिष्कार किया", और इसके अतिरिक्त मल्टी-फैक्टर ऑथेंटिकेशन (एमएफए) सेटिंग्स उनके ग्राहकों का एक छोटा सा समूह प्रभावित हुआ था।
इसका मतलब यह है कि अपराधी लाखों साल इंतजार किए बिना आसानी से अपने चोरी हुए सामान को डिक्रिप्ट कर सकते हैं।
यह अनिश्चित है कि लास्टपास वॉल्ट एन्क्रिप्शन कुंजियों को भी एक्सफिल्टर किया गया है या नहीं।
LastPass Vaults के समझौता होने की रिपोर्ट
लगभग जैसे ही दिसंबर अपडेट प्रकाशित हुआ, MUO को पाठकों द्वारा वन-ऑफ पासवर्ड का दावा करने के लिए संपर्क किया गया केवल LastPass वाल्टों में संग्रहीत अपराधियों द्वारा ऑनलाइन खातों तक पहुँचने के लिए उपयोग किया जा रहा था, जिसके परिणामस्वरूप सिम-स्वैपिंग हो रही थी हमले।
ट्विटर पर, उपयोगकर्ताओं ने बताया कि क्रिप्टो वॉलेट पर हमला किया जा रहा था और उनकी सामग्री को खत्म कर दिया गया था - उन बीजों को केवल लास्टपास वाल्टों में संग्रहीत किया गया था।
अभी तक, लास्टपास ने इन अफवाहों पर ध्यान नहीं दिया है, न ही इसकी मूल कंपनी के खुलासे।
GoTo ने कम से कम प्रभावित उपयोगकर्ताओं से संपर्क करना शुरू कर दिया है और सभी पासवर्ड स्वचालित रूप से रीसेट कर दिए गए हैं।
हर चीज के लिए अपना पासवर्ड बदलें
आपके पासवर्ड को सुरक्षित और अनुमान से परे रखने के लिए पासवर्ड प्रबंधन सेवाएं मौजूद हैं। यदि अपराधियों के पास उस तिजोरी की चाबियां हैं, तो आपके पासवर्ड किसी के भी हैं, जैसा वे चाहें उपयोग कर सकते हैं।
सबसे पहले आपको यह करना चाहिए कि आप जिस भी सेवा तक ऑनलाइन पहुंचे हैं, उसके लिए अपना पासवर्ड बदल लें। जहां संभव हो, आपको एक विशिष्ट उपयोगकर्ता नाम और ईमेल पते का भी उपयोग करना चाहिए।
किसी और को सुरक्षित रखने के लिए अपने गहरे रहस्यों को सौंपना कभी भी अच्छा विचार नहीं है। बिटवर्डन एक पासवर्ड मैनेजर है जिसे आप अपने हार्डवेयर पर होस्ट कर सकते हैं, और जो आपके द्वारा देखी जाने वाली प्रत्येक साइट के लिए उपयोगकर्ता नाम, ईमेल उपनाम और पासवर्ड उत्पन्न करेगा। जैसा कि आप इसे अपनी मशीन पर चलाते हैं, आपको अपना पासवर्ड किसी अन्य कंपनी की संदिग्ध देखभाल के लिए नहीं छोड़ना पड़ता है।
