LastPass ব্যবহারকারীর ডেটা ব্যাকআপ আপস করা হয়েছে

বিকাশকারীরা পাসওয়ার্ড ম্যানেজার LastPassiOS এর, যা 33 মিলিয়নেরও বেশি মানুষ এবং 100.000 টিরও বেশি কোম্পানি দ্বারা ব্যবহৃত হয়, ব্যবহারকারীদের এমন একটি ঘটনা সম্পর্কে অবহিত করা হয়েছে যেখানে আক্রমণকারীরা ব্যাকআপ অ্যাক্সেস করতে পেরেছিল স্টোরেজ ব্যবহারকারীর ডেটা সহ পরিষেবা থেকে।

ডেটাতে ব্যবহারকারীর নাম, ঠিকানা, ইমেল, ফোন এবং আইপি ঠিকানাগুলির মতো তথ্য অন্তর্ভুক্ত ছিল যেগুলি থেকে পরিষেবাটি অ্যাক্সেস করা হয়েছিল, সেইসাথে পাসওয়ার্ড ম্যানেজারে সংরক্ষিত এনক্রিপ্ট না করা সাইটের নাম এবং লগইন, পাসওয়ার্ড, ফর্ম ডেটা এবং এই সাইটগুলিতে সংরক্ষিত এনক্রিপ্ট করা নোট। .

লগইন এবং পাসওয়ার্ড রক্ষা করতে সাইটের, PBKDF256 ফাংশন ব্যবহার করে তৈরি করা 2-বিট কী দিয়ে AES এনক্রিপশন ব্যবহার করা হয়েছিল ন্যূনতম 12 অক্ষরের দৈর্ঘ্য সহ শুধুমাত্র ব্যবহারকারীর কাছে পরিচিত একটি মাস্টার পাসওয়ার্ডের উপর ভিত্তি করে। LastPass-এ লগইন এবং পাসওয়ার্ডগুলির এনক্রিপশন এবং ডিক্রিপশন শুধুমাত্র ব্যবহারকারীর পক্ষে করা হয়, এবং মাস্টার পাসওয়ার্ডের আকার এবং PBKDF2 এর পুনরাবৃত্তির প্রয়োগের সংখ্যার কারণে আধুনিক হার্ডওয়্যারে মাস্টার পাসওয়ার্ড অনুমান করা অবাস্তব বলে বিবেচিত হয়।

আক্রমণ চালানোর জন্য, তারা আগস্টে ঘটে যাওয়া সর্বশেষ হামলার সময় আক্রমণকারীদের দ্বারা প্রাপ্ত ডেটা ব্যবহার করেছিল এবং এটি পরিষেবা বিকাশকারীদের একজনের অ্যাকাউন্টের সাথে আপস করে চালানো হয়েছিল।

আগস্ট হামলার ফলে আক্রমণকারীরা উন্নয়নের পরিবেশে প্রবেশাধিকার লাভ করে, অ্যাপ্লিকেশন কোড এবং প্রযুক্তিগত তথ্য। পরে দেখা গেল যে আক্রমণকারীরা অন্য বিকাশকারীকে আক্রমণ করার জন্য ডেভেলপমেন্ট এনভায়রনমেন্ট থেকে ডেটা ব্যবহার করেছিল, যার জন্য তারা ক্লাউড স্টোরেজের অ্যাক্সেস কী এবং সেখানে সংরক্ষিত কন্টেইনারগুলি থেকে ডেটা ডিক্রিপ্ট করার কীগুলি পেতে সক্ষম হয়েছিল। আপস করা ক্লাউড সার্ভারগুলি কর্মীদের পরিষেবা ডেটার সম্পূর্ণ ব্যাকআপ হোস্ট করে৷

প্রকাশটি লাস্টপাস আগস্টে প্রকাশ করা একটি ফাঁকির জন্য একটি নাটকীয় আপডেট উপস্থাপন করে। প্রকাশক স্বীকার করেছেন যে হ্যাকাররা "সোর্স কোডের কিছু অংশ এবং লাস্টপাস থেকে কিছু মালিকানাধীন প্রযুক্তিগত তথ্য নিয়েছিল।" সংস্থাটি সে সময় বলেছিল যে গ্রাহকের মাস্টার পাসওয়ার্ড, এনক্রিপ্ট করা পাসওয়ার্ড, ব্যক্তিগত তথ্য এবং গ্রাহক অ্যাকাউন্টে সংরক্ষিত অন্যান্য ডেটা প্রভাবিত হয়নি।

256-বিট AES এবং শুধুমাত্র আমাদের জিরো নলেজ আর্কিটেকচার ব্যবহার করে প্রতিটি ব্যবহারকারীর মাস্টার পাসওয়ার্ড থেকে প্রাপ্ত একটি অনন্য ডিক্রিপশন কী দিয়ে ডিক্রিপ্ট করা যেতে পারে, "উন্নত এনক্রিপশন স্কিমকে উল্লেখ করে লাস্টপাসের সিইও করিম তোব্বা ব্যাখ্যা করেছেন। জিরো নলেজ বলতে এমন স্টোরেজ সিস্টেমকে বোঝায় যা পরিষেবা প্রদানকারীর পক্ষে ক্র্যাক করা অসম্ভব। সিইও অব্যাহত রেখেছেন:

এটি লঙ্ঘনের পরে তার নিরাপত্তা জোরদার করার জন্য LastPass নেওয়া বেশ কয়েকটি সমাধান তালিকাভুক্ত করেছে। পদক্ষেপগুলির মধ্যে রয়েছে হ্যাকড ডেভেলপমেন্ট এনভায়রনমেন্ট ডিকমিশন করা এবং স্ক্র্যাচ থেকে পুনর্নির্মাণ, একটি পরিচালিত এন্ডপয়েন্ট সনাক্তকরণ এবং প্রতিক্রিয়া পরিষেবা বজায় রাখা এবং আপোস করা হতে পারে এমন সমস্ত প্রাসঙ্গিক শংসাপত্র এবং শংসাপত্রগুলি ঘোরানো।

LastPass দ্বারা সংরক্ষিত ডেটার গোপনীয়তার পরিপ্রেক্ষিতে, এটি উদ্বেগজনক যে এত বিস্তৃত ব্যক্তিগত ডেটা প্রাপ্ত হয়েছে৷ যদিও পাসওয়ার্ড হ্যাশ ক্র্যাক করা সম্পদ নিবিড় হবে, এটি প্রশ্নের বাইরে নয়, বিশেষ করে আক্রমণকারীদের পদ্ধতি এবং চাতুর্যের কারণে।

LastPass গ্রাহকদের নিশ্চিত করা উচিত যে তারা তাদের মাস্টার পাসওয়ার্ড পরিবর্তন করেছে এবং সমস্ত পাসওয়ার্ড আপনার ভল্টে সংরক্ষিত। তারা নিশ্চিত করা উচিত যে তারা সেটিংস ব্যবহার করছে যা ডিফল্ট LastPass সেটিংস অতিক্রম করে।

এই কনফিগারেশনগুলি পাসওয়ার্ড ভিত্তিক কী ডেরিভেশন ফাংশন (PBKDF100100) এর 2 পুনরাবৃত্তি ব্যবহার করে সংরক্ষিত পাসওয়ার্ডগুলিকে স্ক্র্যাম্বল করে, একটি হ্যাশিং স্কিম যা দীর্ঘ, অনন্য মাস্টার পাসওয়ার্ডগুলি ক্র্যাক করা অসম্ভব করে তোলে এবং এলোমেলোভাবে উত্পন্ন 100100 পুনরাবৃত্তিগুলি OWASP-এর অধীনে দুর্ভাগ্যজনকভাবে, LastPass দ্বারা ব্যবহৃত SHA310 হ্যাশ অ্যালগরিদমের সংমিশ্রণে PBKDF000 এর জন্য পুনরাবৃত্তি।

লাস্টপাস গ্রাহকরা লাস্টপাস থেকে আসা ফিশিং ইমেল এবং ফোন কলগুলি সম্পর্কেও তাদের খুব সতর্ক হওয়া উচিত বা অন্যান্য পরিষেবা যা সংবেদনশীল ডেটা এবং অন্যান্য স্ক্যাম যা আপনার আপস করা ব্যক্তিগত ডেটাকে কাজে লাগায়। কোম্পানিটি এন্টারপ্রাইজ গ্রাহকদের জন্য নির্দিষ্ট নির্দেশিকাও অফার করে যারা LastPass ফেডারেটেড লগইন পরিষেবাগুলি বাস্তবায়ন করেছে।

পরিশেষে, যদি আপনি এটি সম্পর্কে আরও জানতে আগ্রহী হন, তাহলে আপনি বিস্তারিত জানতে পারেন নীচের লিঙ্কে।