पासवर्ड सुरक्षा में लास्टपास एक जाना-माना और विश्वसनीय नाम है, लेकिन इसके उल्लंघनों का इतिहास आपको एक विकल्प पर विचार करने पर मजबूर कर सकता है।
चाबी छीनना
- लास्टपास ने अतीत में कई डेटा उल्लंघनों का अनुभव किया है, जिसमें 2015 में एक उल्लंघन भी शामिल है जिसने उपयोगकर्ता ईमेल और मास्टर पासवर्ड को उजागर किया था। हालाँकि, अतिरिक्त सुरक्षा परतों को नियोजित करने वाले अधिकांश उपयोगकर्ता संभवतः उल्लंघन से सुरक्षित थे।
- लास्टपास को 2021 में आलोचना का सामना करना पड़ा जब यह पता चला कि उनके एंड्रॉइड ऐप में थर्ड-पार्टी ट्रैकर्स थे, जिससे सुरक्षा को लेकर चिंताएं बढ़ गईं। लास्टपास ने यह कहते हुए जवाब दिया कि ट्रैकर्स का उपयोग एप्लिकेशन टेलीमेट्री के लिए किया गया था और उपयोगकर्ताओं द्वारा इसे अक्षम किया जा सकता है।
- लास्टपास ने 2022 में एक महत्वपूर्ण उल्लंघन का अनुभव किया, जहां हमलावरों ने ग्राहक डेटा और उपयोगकर्ता वॉल्ट जानकारी तक पहुंच बनाई। इस उल्लंघन के कारण लास्टपास और उसकी मातृ कंपनी, GoTo के लिए और भी परिणाम सामने आए, जिसमें चोरी हुए एन्क्रिप्टेड बैकअप और एक्सेस की गई एन्क्रिप्शन कुंजी के सबूत भी शामिल थे।
- कुल मिलाकर, जबकि लास्टपास को आम तौर पर सुरक्षित माना जाता है, कई उल्लंघनों और सुरक्षा घटनाओं ने कुछ उपयोगकर्ताओं को वैकल्पिक पासवर्ड प्रबंधकों की तलाश करने के लिए प्रेरित किया है जिनके साथ समझौता नहीं किया गया है।
हम में से कई लोग अपने निजी डेटा को सुरक्षित रखने के लिए पासवर्ड मैनेजर का उपयोग करते हैं, जिसमें लास्टपास सबसे लोकप्रिय विकल्पों में से एक है। लेकिन लास्टपास को डेटा उल्लंघनों का उचित हिस्सा भुगतना पड़ा है, जिससे ग्राहकों की संवेदनशील जानकारी खतरे में पड़ गई है।
तो, लास्टपास को कितनी बार हैक किया गया है, और क्या इसका उपयोग करना अभी भी सुरक्षित है?
1. लास्टपास 2015 उल्लंघन
पहला लास्टपास हैक कंपनी की स्थापना के सात साल बाद जून 2015 में हुआ था। इस गंभीर उल्लंघन ने लास्टपास उपयोगकर्ताओं के ईमेल और मास्टर पासवर्ड के साथ-साथ मास्टर पासवर्ड को याद रखने के लिए उपयोग किए जाने वाले संकेत या अनुस्मारक शब्दों को भी उजागर कर दिया। हैक का पता तब चला जब लास्टपास ने संदिग्ध नेटवर्क गतिविधि का पता लगाया, जिसे जल्द ही ब्लॉक कर दिया गया। हालाँकि, कुछ क्षति पहले ही हो चुकी थी।
में एक ग्राहकों को अब समाप्त नोट (इंटरनेट आर्काइव के माध्यम से उपलब्ध), लास्टपास ने उपयोगकर्ताओं को सूचित किया कि जो लोग अपने पासवर्ड पर हैशिंग और साल्टिंग जैसी अतिरिक्त सुरक्षा परतों का उपयोग करते हैं, वे संभवतः हैक से सुरक्षित हैं। सौभाग्य से, लास्टपास के अधिकांश उपयोगकर्ता इन सुरक्षा विधियों को नियोजित करते हैं, जिसका अर्थ है कि ग्राहकों के केवल एक छोटे हिस्से को ही प्रभावित होने का मौका मिलता है।
लास्टपास ने यह भी कहा कि उसे विश्वास नहीं है कि हमले के कारण किसी उपयोगकर्ता खाते तक पहुंच बनाई गई थी लेकिन उसने आग्रह किया था उपयोगकर्ताओं को अपने ईमेल पते सत्यापित करने और किसी भी सप्ताह नवीनीकृत करने या बार-बार बढ़ावा देने के लिए मास्टर पासवर्ड का उपयोग करना होगा सुरक्षा।
हैक के कुछ सप्ताह बाद, लास्टपास ने एक ब्लॉग पोस्ट प्रकाशित किया यह बताते हुए कि हैक के बाद से इसकी सुरक्षा में सुधार हुआ है, ग्राहकों की सुरक्षा के लिए कई छोटे और बड़े बदलाव किए गए हैं। इन परिवर्तनों में हार्डवेयर सुरक्षा मॉड्यूल (एचएसएम) की शुरूआत शामिल थी, जो लास्टपास के क्रिप्टोग्राफ़िक बुनियादी ढांचे की रक्षा करते हैं।
2. लास्टपास 2021 ट्रैकिंग घटना
हालाँकि लास्टपास को 2021 में हैक नहीं किया गया था, लेकिन जब यह पाया गया कि इसके एंड्रॉइड ऐप में थर्ड-पार्टी ट्रैकर्स हैं तो इसमें समस्याएँ आईं। फरवरी 2021 में, एक्सोडस प्राइवेसी नाम के एक सुरक्षा विश्लेषण ऐप ने खुलासा किया कि उसे लास्टपास एंड्रॉइड ऐप में सात ट्रैकर मिले थे, जिससे उपयोगकर्ताओं के बीच संदेह पैदा हो गया। सुरक्षा शोधकर्ता माइक कुकेट्ज़ ने एक में खोज पर टिप्पणी की कुकेट्ज़ आईटी सुरक्षा ब्लॉग पोस्ट, यह बताते हुए कि "[विज्ञापनों और ट्रैकर्स] को पासवर्ड मैनेजर ऐप्स में एकीकृत करना पूरी तरह से सवाल से बाहर है।"
Kuketz ने लास्टपास एंड्रॉइड ऐप में पाए जाने वाले सात ट्रैकर्स को भी सूचीबद्ध किया है, जिसमें Google Analytics, सेगमेंट और AppsFlyer के ट्रैकर्स शामिल हैं। इस तरह से मार्केटिंग एनालिटिक्स प्लेटफ़ॉर्म तक पहुंच प्रदान करने की कुकेट्ज़ ने निंदा की, जिन्होंने लिखा कि लास्टपास का दृष्टिकोण "सुरक्षा के मामले में बेहद संदिग्ध है।"
कुकेट्ज़ ने रेखांकित किया कि लास्टपास एंड्रॉइड ऐप को यह जानने के लिए मैन्युअल रूप से जांचने की आवश्यकता है कि ट्रैकर्स सक्रिय रूप से उपयोगकर्ताओं पर नज़र रख रहे हैं या नहीं। हालाँकि, कुकेट्ज़ ने अकेले ट्रैकर्स की उपस्थिति को एक ऐसे ऐप के लिए खराब अभ्यास माना है, जिसे सुरक्षा को प्राथमिकता देने की आवश्यकता है।
इस आलोचना के जवाब में, लास्टपास ने उपयोगकर्ताओं को सूचित किया कि यह एनालिटिक्स टूल का उपयोग करता है। लास्टपास ने इस बात पर जोर दिया कि यह "एप्लिकेशन टेलीमेट्री, त्रुटि और क्रैश रिपोर्टिंग डेटा के साथ-साथ" में अंतर्दृष्टि प्राप्त करने के लिए किया गया था। अंततः समग्र प्रदर्शन, विश्वसनीयता और प्रयोज्यता में सुधार के लिए उच्च-स्तरीय उपयोग सांख्यिकीय जानकारी अनुप्रयोग]।"
यह भी कहा गया कि लास्टपास ऐप का एनालिटिक्स तत्व एक वैकल्पिक सुविधा थी जिसे उपयोगकर्ता अपनी उन्नत सेटिंग्स में अक्षम कर सकते थे। लेकिन इसकी परवाह किए बिना, लास्टपास एंड्रॉइड ऐप में ट्रैकर्स की मौजूदगी ने सुरक्षा विश्लेषकों और उपयोगकर्ताओं के मुंह में एक खराब स्वाद छोड़ दिया।
3. लास्टपास 2022 उल्लंघन
2015 की शुरुआती घटना के बाद लास्टपास को एक और साइबर हमले का सामना करने में कुछ समय लगा। लेकिन 2022 में सचमुच एक और हमला आ गया. लास्टपास के लिए यह विशेष रूप से कठिन वर्ष था, अगस्त में एक प्रारंभिक हैक के कारण सदमे की लहर पैदा हुई जो 2023 तक जारी रहेगी।
अगस्त 2022 की शुरुआत में, लास्टपास को एक उल्लंघन के बारे में पता चला जहां एक हैकर ने सोर्स कोड चुराने और कंपनी के क्लाउड-आधारित विकास प्लेटफॉर्म तक पहुंचने के लिए लास्टपास डेवलपर के लैपटॉप से समझौता किया था। हैकर ने खुद को उपयोगकर्ता के रूप में सफलतापूर्वक प्रमाणित करके इंजीनियर के खाते पर मल्टीफैक्टर प्रमाणीकरण सुरक्षा को दरकिनार कर दिया। हालाँकि यह एक बहुत ही चिंताजनक घटना थी, हैकर ने कोई ग्राहक जानकारी पुनर्प्राप्त नहीं की।
लेकिन कुछ महीनों बाद हालात और ख़राब हो गए. दिसंबर 2022 में, लास्टपास ने घोषणा की कि अगस्त हैक ने हमलावरों को उसके बुनियादी ढांचे के अधिक संवेदनशील क्षेत्रों में जाने का रास्ता दे दिया है, जिसका पहली बार नवंबर में फायदा उठाया गया था। इस समय, हैकर्स ने लास्टपास ग्राहक डेटा तक पहुंच बनाई, जिसमें ईमेल और आईपी पते, टेलीफोन नंबर और नाम शामिल हैं। इसके शीर्ष पर, कुछ प्रकार के उपयोगकर्ता वॉल्ट डेटा उजागर हुए, जिनमें ऑनलाइन खातों के लिए संग्रहीत उपयोगकर्ता नाम और पासवर्ड शामिल थे।
कहने की जरूरत नहीं है, लास्टपास अब बहुत मुश्किल स्थिति में है और चीजें 2023 में भी नहीं रुकेंगी।
2023 के परिणाम
हालाँकि 2023 लास्टपास के लिए कोई नया हैक नहीं लाया, लेकिन यह 2022 के कारनामों के बारे में अधिक से अधिक परेशान करने वाली जानकारी लेकर आया।
जनवरी 2023 में, लास्टपास की मातृ कंपनी, GoTo ने 2022 हैक के परिणामों के बारे में एक बयान जारी किया। GoTo का कथन बताया गया कि सेंट्रल, हमाची, प्रो, जॉइन.मी और रिमोटलीएनीव्हेयर सहित कंपनी की कई अन्य सेवाओं को भी हमलावरों द्वारा तीसरे पक्ष के क्लाउड स्टोरेज डिवाइस के माध्यम से लक्षित किया गया था। इस डिवाइस से हमलावरों ने एन्क्रिप्टेड बैकअप चुरा लिया। इसके अलावा, GoTo ने खुलासा किया कि उसे इस बात के सबूत मिले हैं कि चुराए गए कुछ बैकअप के लिए एन्क्रिप्शन कुंजी भी एक्सेस की गई थी।
फरवरी 2023 में, लास्टपास फिर से समाचार सुर्खियों में आ गया जब यह पता चला कि, पहले और दूसरे 2022 हैक के बीच, हमलावरों द्वारा अधिक दुर्भावनापूर्ण कार्रवाई की गई थी।
जैसा कि उपरोक्त एक्स पोस्ट में प्रलेखित है, नवंबर 2022 हैकर्स एक वरिष्ठ लास्टपास डेवलपर के घरेलू कंप्यूटर से समझौता किया सॉफ़्टवेयर मीडिया भेद्यता के माध्यम से। कंप्यूटर को हैक करने के बाद, हैकर्स ने एक कीलॉगर स्थापित किया, जिससे वे देख सकते थे कि डेवलपर उनके कीबोर्ड पर क्या टाइप कर रहा है।
इससे हमलावरों को डेवलपर के लास्टपास कॉर्पोरेट वॉल्ट मास्टर पासवर्ड तक पहुंच मिल गई, जिससे हमलावरों को वॉल्ट तक पहुंचने की अनुमति मिल गई। यहां चौंकाने वाली बात यह है कि केवल चार लास्टपास वरिष्ठ डेवलपर्स के पास कॉर्पोरेट वॉल्ट तक पहुंच थी, और हमलावर अभी भी ऐसे एक डेवलपर को सफलतापूर्वक निशाना बनाने में कामयाब रहे।
हैकर्स ने अक्टूबर 2023 में क्रिप्टोकरेंसी में $4.4 मिलियन की चोरी करने के लिए 2022 में चुराए गए उपयोगकर्ता क्रेडेंशियल्स का भी उपयोग किया। ऐसा माना जाता है कि हमलावरों ने दूसरे 2022 उल्लंघन में क्रिप्टो वॉलेट सीड वाक्यांशों और कुंजियों तक पहुंच प्राप्त की, जिससे उन्हें वॉलेट में हैक करने और क्रिप्टो को अपने वांछित पते पर निकालने की अनुमति मिली।
लास्टपास में एक है 2022 हैक में एक्सेस किए गए डेटा की पूरी सूची यदि आप वह सब देखना चाहते हैं जो 2022 की घटनाओं के कारण उजागर हुआ था।
क्या लास्टपास का उपयोग अभी भी सुरक्षित है?
हालाँकि लास्टपास 2008 से सेवा में है, लेकिन इसके अधिकांश डेटा उल्लंघन और सुरक्षा घटनाएं 2020 में हुई हैं। इसके पिछले कई सुरक्षा मुद्दों को देखते हुए, लास्टपास का उपयोग करने में थोड़ी घबराहट महसूस होना स्वाभाविक है, तो यहां फैसला क्या है? क्या लास्टपास का उपयोग करना सुरक्षित है, या आपको कुछ और चुनना चाहिए?
हालांकि साधारण नोट्स ऐप या समान स्टोरेज विकल्प की तुलना में लास्टपास का उपयोग करना अधिक सुरक्षित है, लेकिन आज बेहतर पासवर्ड मैनेजर मौजूद हो सकते हैं। अपने सुरक्षा रिकॉर्ड पर इतने सारे दोषों के साथ, लास्टपास कई लोगों के लिए वर्जित बन गया है, क्योंकि कोई नहीं जानता कि कब एक और उल्लंघन होगा। 2022 में लास्टपास और उसके उपयोगकर्ताओं के लिए बहुत सारी समस्याएं पैदा होने के साथ, इसमें कोई आश्चर्य की बात नहीं है कि कुछ उपयोगकर्ताओं ने ऐसे पासवर्ड प्रबंधकों का विकल्प चुना है जो अभी तक हैक नहीं हुए हैं।
डैशलेन और नॉर्डपास अत्यधिक प्रतिष्ठित पासवर्ड प्रबंधकों के केवल दो उदाहरण हैं जिन्हें कभी भी सुरक्षा उल्लंघन का सामना नहीं करना पड़ा है, इसलिए ऐसा पासवर्ड मैनेजर ढूंढना निश्चित रूप से संभव है, जिसका ग्राहक डेटा या कर्मचारी पोर्टल उजागर न हुआ हो हैकर्स
यदि आप वर्तमान में लास्टपास का उपयोग कर रहे हैं लेकिन कहीं और जाना चाहते हैं, तो हमारी मार्गदर्शिका देखें अपना लास्टपास खाता हटाना. हमारे पास इस पर एक उपयोगी मार्गदर्शिका भी है सबसे सुरक्षित पासवर्ड मैनेजर यदि आपको प्रतिस्थापन चुनने में सहायता की आवश्यकता है।
हालाँकि, लास्टपास की सुरक्षा घटनाएँ इसे असुरक्षित पासवर्ड मैनेजर नहीं बनाती हैं। ऐप में अभी भी संवेदनशील क्रेडेंशियल्स की सुरक्षा के लिए कई उपयोगी सुविधाएं हैं और तकनीकी समझ की परवाह किए बिना इसका उपयोग करना आसान है।
लास्टपास पासवर्ड प्रबंधन का राजा नहीं है
पासवर्ड संग्रहीत करने के लिए लास्टपास का उपयोग करने में स्वाभाविक रूप से कुछ भी गलत नहीं है, क्योंकि ऐप आम तौर पर काफी सुरक्षित है। हालाँकि, यदि आप यह सुनिश्चित करना चाहते हैं कि आपकी संवेदनशील जानकारी यथासंभव प्रभावी ढंग से संग्रहीत की जा रही है, तो यह वहाँ मौजूद सुपर सुरक्षित विकल्पों पर ध्यान देने योग्य है।