সম্প্রতি অনেক LastPass ব্যবহারকারীরা রিপোর্ট করেছেন যে তাদের মাস্টার পাসওয়ার্ডগুলি আপস করা হয়েছে কেউ অজানা অবস্থান থেকে তাদের অ্যাকাউন্টে লগ ইন করার জন্য তাদের ব্যবহার করার চেষ্টা করেছে বলে ইমেল সতর্কতা প্রাপ্তির পর।
The ইমেল বিজ্ঞপ্তি তারা আরো উল্লেখ করে যে সংযোগ প্রচেষ্টা ব্লক করা হয়েছে কারণ এগুলি বিশ্বের অজানা স্থান থেকে তৈরি করা হয়েছিল।
"কেউ এইমাত্র আপনার মাস্টার পাসওয়ার্ড ব্যবহার করে এমন একটি ডিভাইস বা অবস্থান থেকে আপনার অ্যাকাউন্টে লগ ইন করার চেষ্টা করেছে যা আমরা চিনতে পারি না," লগইন সতর্কতা সতর্ক করে৷ "লাস্টপাস এই প্রচেষ্টাটিকে অবরুদ্ধ করেছে, তবে আপনার আরও ঘনিষ্ঠভাবে নজর দেওয়া উচিত। তুমি ছিলে? "
আপস করা LastPass মাস্টার পাসওয়ার্ডের রিপোর্ট টুইটার সহ বিভিন্ন সোশ্যাল মিডিয়া সাইট এবং অনলাইন প্ল্যাটফর্মের মাধ্যমে বিতরণ করা হয়।
অধিকাংশ রিপোর্ট পুরানো LastPass অ্যাকাউন্ট সহ ব্যবহারকারীদের কাছ থেকে এসেছে বলে মনে হচ্ছে, যার মানে হল যে তারা কিছু সময়ের জন্য পরিষেবাটি ব্যবহার করেনি এবং তারা পাসওয়ার্ড পরিবর্তন করেনি। সেই সময়ে তৈরি অনুমানগুলির মধ্যে একটি ছিল যে ব্যবহৃত মাস্টার পাসওয়ার্ডের তালিকাটি আগের হ্যাক থেকে আসতে পারে।
কিছু ব্যবহারকারী দাবি করেন যে তাদের পাসওয়ার্ড পরিবর্তন করা তাদের সাহায্য করেনি, এবং একজন ব্যবহারকারী প্রতিটি পাসওয়ার্ড পরিবর্তনের সাথে বিভিন্ন অবস্থান থেকে নতুন লগইন প্রচেষ্টা দেখার দাবি করেছেন।
LastPass সাম্প্রতিক প্রতিবেদনগুলি তদন্ত করেছে যে তারা লগইন প্রচেষ্টাকে অবরুদ্ধ করেছে এবং নির্ধারণ করেছে যে কার্যকলাপটি কিছু মোটামুটি সাধারণ বট কার্যকলাপের সাথে সম্পর্কিত, যেখানে একজন দূষিত অভিনেতা বা অভিনেতা ব্যবহারকারীর অ্যাকাউন্টগুলি অ্যাক্সেস করার চেষ্টা করে (এই ক্ষেত্রে, LastPass) ইমেল ঠিকানা এবং পাসওয়ার্ডগুলি ব্যবহার করে৷ অন্যান্য অননুমোদিত পরিষেবাগুলির সাথে সম্পর্কিত তৃতীয় পক্ষের লঙ্ঘন থেকে”।
“এটি লক্ষ্য করা গুরুত্বপূর্ণ যে আমাদের কাছে এমন কোনও ইঙ্গিত নেই যে অ্যাকাউন্টগুলি সফলভাবে অ্যাক্সেস করা হয়েছিল বা লাস্টপাস পরিষেবাটি কোনও অননুমোদিত পক্ষ দ্বারা আপস করা হয়েছিল৷ আমরা নিয়মিত এই ধরনের কার্যকলাপ নিরীক্ষণ করি এবং LastPass, এর ব্যবহারকারী এবং তাদের ডেটা সুরক্ষিত এবং সুরক্ষিত থাকে তা নিশ্চিত করার জন্য পরিকল্পিত ব্যবস্থা গ্রহণ চালিয়ে যাব,” যোগ করেছেন Bacso-Albaum।
যাইহোক, সাক্ষাত্কার নেওয়া ব্যবহারকারীরা যারা এই সতর্কবাণী পেয়েছেন তারা বলেছেন তাদের পাসওয়ার্ড LastPass-এর জন্য অনন্য এবং তারা অন্য কোথাও ব্যবহার করা হয় না। যে কারণে একজন ইন্টারনেট ব্যবহারকারী অবাক হয়েছিলেন "তাহলে তারা লাস্টপাস লঙ্ঘন ছাড়াই এই অনন্য লাস্টপাস পাসওয়ার্ডগুলি কীভাবে পেল?" »
যদিও LastPass এই শংসাপত্র স্টাফিং প্রচেষ্টার পিছনে দূষিত অভিনেতারা কীভাবে এগিয়েছিল তার কোনও বিবরণ ভাগ করেনি, নিরাপত্তা গবেষক বব ডায়াচেঙ্কো বলেছেন যে এটি সম্প্রতি হাজার হাজার তথ্য খুঁজে পেয়েছে।
কিছু LastPass গ্রাহক যারা এই ধরনের সংযোগ সতর্কতা পেয়েছেন তারা ইঙ্গিত দিয়েছেন যে তাদের ইমেলগুলি RedLine Stealer দ্বারা সংগৃহীত সংযোগ জোড়ার তালিকায় নেই যা Diachenko খুঁজে পেয়েছেন।
উপরন্তু, তিনি নিজেই ইঙ্গিত করেছেন যে এটি আক্রমণের উত্স ছিল না:
“ঠিক আছে, আমি রেডলাইন স্টিলার লগগুলিতে ইমেল চেক করার জন্য কয়েকটি অনুরোধ পেয়েছি, এবং সেখানে কোনটি নেই। তার কোনো রেকর্ড ছিল না। তাই স্পষ্টতই এটি আক্রমণের উত্স ছিল না (দুর্ভাগ্যবশত, কারণ এটি ভেক্টরকে বোঝা সহজ করে দিত)।
এর মানে হল, অন্তত এই রিপোর্টগুলির কিছু ক্ষেত্রে, অধিগ্রহণের প্রচেষ্টার পিছনে দূষিত অভিনেতারা তারা তাদের লক্ষ্য থেকে মাস্টার পাসওয়ার্ড চুরি করার জন্য অন্যান্য উপায় ব্যবহার করেছে।
কিছু গ্রাহক রিপোর্ট করেছেন যে তারা তাদের মাস্টার পাসওয়ার্ড পরিবর্তন করেছেন যেহেতু তারা লগইন সতর্কতা পেয়েছে, শুধুমাত্র পাসওয়ার্ড পরিবর্তন করার পরে অন্য সতর্কতা পেতে.
"কেউ গতকাল আমার LastPass মাস্টার পাসওয়ার্ড প্রবেশ করার চেষ্টা করেছে, এবং তারপর আমি এটি পরিবর্তন করার কয়েক ঘন্টা পরে কেউ আবার চেষ্টা করেছে। কি যা তা হচ্ছে ? "
বিষয়টিকে আরও খারাপ করার জন্য, যে গ্রাহকরা এই সতর্কতাগুলি পাওয়ার পরে তাদের LastPass অ্যাকাউন্টগুলি নিষ্ক্রিয় এবং মুছে ফেলার চেষ্টা করেছেন তারাও "মুছুন" বোতামে ক্লিক করার পরে একটি "কিছু ভুল হয়েছে" ত্রুটি পাওয়ার রিপোর্ট করে৷
যদিও LastPass এর সাথে আপস করা হয়নি, LastPass ব্যবহারকারীদের তাদের অ্যাকাউন্ট সুরক্ষিত করার জন্য মাল্টি-ফ্যাক্টর প্রমাণীকরণ সক্ষম করতে উত্সাহিত করা হয়।
তার সাইটে, LastPass ব্যাখ্যা করে:
“মাল্টি-ফ্যাক্টর অথেনটিকেশন (MFA), মোবাইলে ওয়ান-টাচ নোটিফিকেশন (OneTap), SMS বা ফিঙ্গারপ্রিন্ট যাচাইকরণের মাধ্যমে প্রেরিত কোডগুলি, ব্যবহারকারীকে অ্যাক্সেস দেওয়ার আগে তার পরিচয় নিশ্চিত করতে নিরাপত্তার দ্বিতীয় স্তর প্রদান করে৷ MFA-এর সাথে, প্রশাসকরা প্রমাণীকরণ নীতিগুলি প্রতিষ্ঠা করতে পারেন যা কর্মচারীর সময় বা কাজের লঙ্ঘন না করে নিরাপত্তা মান মেনে চলে। LastPass MFA প্রথাগত দ্বি-ফ্যাক্টর প্রমাণীকরণের বাইরে যায় যাতে সঠিক ব্যবহারকারীরা সঠিক সময়ে সঠিক ডেটা অ্যাক্সেস করে।