लास्टपास एक फ्रीमियम पासवर्ड मैनेजर है जो क्लाउड में एन्क्रिप्टेड पासवर्ड स्टोर करता है, मूल रूप से कंपनी मारवासोल, इंक द्वारा विकसित किया गया है।
डेवलपर्स पासवर्ड प्रबंधक LastPass, जिसका उपयोग 33 मिलियन से अधिक लोग और 100.000 से अधिक कंपनियां करती हैं, उपयोगकर्ताओं को एक ऐसी घटना की सूचना दी जिसमें हमलावर बैकअप तक पहुँचने में कामयाब रहे भंडारण का उपयोगकर्ता डेटा के साथ सेवा से।
डेटा में उपयोगकर्ता नाम, पता, ईमेल, फोन और आईपी पते जैसी जानकारी शामिल थी, जिससे सेवा तक पहुंचा जा सकता था, साथ ही पासवर्ड मैनेजर में संग्रहीत अनएन्क्रिप्टेड साइट नाम और इन साइटों पर संग्रहीत लॉगिन, पासवर्ड, फॉर्म डेटा और एन्क्रिप्टेड नोट्स .
लॉगिन और पासवर्ड की सुरक्षा के लिए साइटों की, PBKDF256 फ़ंक्शन का उपयोग करके उत्पन्न 2-बिट कुंजी के साथ AES एन्क्रिप्शन का उपयोग किया गया था कम से कम 12 अक्षरों की लंबाई वाले मास्टर पासवर्ड के आधार पर जो केवल उपयोगकर्ता के लिए जाना जाता है। लास्टपास में लॉगिन और पासवर्ड का एन्क्रिप्शन और डिक्रिप्शन केवल उपयोगकर्ता की ओर से किया जाता है, और मास्टर पासवर्ड का अनुमान लगाना आधुनिक हार्डवेयर पर अवास्तविक माना जाता है, मास्टर पासवर्ड के आकार और PBKDF2 के पुनरावृत्तियों की लागू संख्या को देखते हुए।
हमले को अंजाम देने के लिए, उन्होंने अगस्त में हुए आखिरी हमले के दौरान हमलावरों द्वारा प्राप्त किए गए डेटा का इस्तेमाल किया और इसे सेवा डेवलपर्स में से एक के खाते से छेड़छाड़ करके अंजाम दिया गया।
अगस्त के हमले के परिणामस्वरूप हमलावरों को विकास पर्यावरण तक पहुंच प्राप्त हुई, आवेदन कोड और तकनीकी जानकारी। बाद में यह पता चला कि हमलावरों ने किसी अन्य डेवलपर पर हमला करने के लिए विकास पर्यावरण से डेटा का उपयोग किया, जिसके लिए वे क्लाउड स्टोरेज तक पहुंच कुंजी और वहां संग्रहीत कंटेनरों से डेटा को डिक्रिप्ट करने के लिए कुंजी प्राप्त करने में कामयाब रहे। समझौता किए गए क्लाउड सर्वर ने कर्मचारी के सेवा डेटा के पूर्ण बैकअप को होस्ट किया।
प्रकटीकरण खामियों के लिए एक नाटकीय अद्यतन का प्रतिनिधित्व करता है जिसे लास्टपास ने अगस्त में प्रकट किया था। प्रकाशक ने स्वीकार किया कि हैकर्स ने "लास्टपास से सोर्स कोड के कुछ हिस्से और कुछ मालिकाना तकनीकी जानकारी ले ली।" कंपनी ने उस समय कहा था कि ग्राहक मास्टर पासवर्ड, एन्क्रिप्टेड पासवर्ड, व्यक्तिगत जानकारी और ग्राहक खातों में संग्रहीत अन्य डेटा प्रभावित नहीं हुए थे।
256-बिट एईएस और केवल हमारे जीरो नॉलेज आर्किटेक्चर का उपयोग करके प्रत्येक उपयोगकर्ता के मास्टर पासवर्ड से प्राप्त एक अद्वितीय डिक्रिप्शन कुंजी के साथ डिक्रिप्ट किया जा सकता है, ”लास्टपास के सीईओ करीम तौबा ने उन्नत एन्क्रिप्शन योजना का जिक्र करते हुए समझाया। जीरो नॉलेज स्टोरेज सिस्टम को संदर्भित करता है जो सेवा प्रदाता के लिए क्रैक करना असंभव है। सीईओ ने जारी रखा:
इसने कई समाधानों को भी सूचीबद्ध किया जो लास्टपास ने उल्लंघन के बाद अपनी सुरक्षा को मजबूत करने के लिए लिया। कदमों में हैक किए गए विकास पर्यावरण को बंद करना और स्क्रैच से पुनर्निर्माण करना, एक प्रबंधित एंडपॉइंट पहचान और प्रतिक्रिया सेवा को बनाए रखना, और सभी प्रासंगिक प्रमाण-पत्रों और प्रमाणपत्रों को घुमाना शामिल है जो समझौता किए गए हो सकते हैं।
लास्टपास द्वारा संग्रहीत डेटा की गोपनीयता को देखते हुए, यह खतरनाक है कि व्यक्तिगत डेटा की इतनी विस्तृत श्रृंखला प्राप्त की गई है। जबकि पासवर्ड हैश को क्रैक करना संसाधन गहन होगा, यह प्रश्न से बाहर नहीं है, विशेष रूप से हमलावरों की विधि और सरलता को देखते हुए।
लास्टपास ग्राहकों को यह सुनिश्चित करना चाहिए कि उन्होंने अपना मास्टर पासवर्ड बदल लिया है और आपकी तिजोरी में संग्रहीत सभी पासवर्ड। उन्हें यह भी सुनिश्चित करना चाहिए कि वे उन सेटिंग्स का उपयोग कर रहे हैं जो डिफ़ॉल्ट लास्टपास सेटिंग्स से अधिक हैं।
ये कॉन्फ़िगरेशन पासवर्ड आधारित कुंजी व्युत्पत्ति फ़ंक्शन (PBKDF100100) के 2 पुनरावृत्तियों का उपयोग करके संग्रहीत पासवर्ड को स्क्रैम्बल करते हैं, एक हैशिंग योजना जो लंबे, अद्वितीय मास्टर पासवर्ड को क्रैक करना असंभव बना सकती है, और बेतरतीब ढंग से उत्पन्न 100100 पुनरावृत्तियों को OWASP-अनुशंसित 310 की सीमा के तहत है। LastPass द्वारा उपयोग किए गए SHA000 हैश एल्गोरिथम के संयोजन में PBKDF2 के पुनरावृत्तियों।
लास्टपास ग्राहक उन्हें लास्टपास से होने वाले फ़िशिंग ईमेल और फ़ोन कॉल के बारे में भी बहुत सतर्क रहना चाहिए या अन्य सेवाएं जो संवेदनशील डेटा और अन्य घोटालों की तलाश करती हैं जो आपके छेड़छाड़ किए गए व्यक्तिगत डेटा का शोषण करते हैं। कंपनी एंटरप्राइज़ ग्राहकों के लिए विशिष्ट मार्गदर्शन भी प्रदान करती है जिन्होंने लास्टपास फ़ेडरेटेड लॉगिन सेवाओं को लागू किया है।
अंत में, यदि आप इसके बारे में अधिक जानने में रुचि रखते हैं, तो आप विवरण देख सकते हैं निम्नलिखित लिंक में