LastPass என்பது ஒரு ஃப்ரீமியம் கடவுச்சொல் நிர்வாகியாகும், இது மறைகுறியாக்கப்பட்ட கடவுச்சொற்களை கிளவுட்டில் சேமிக்கிறது, முதலில் மார்வாசோல், இன்க் நிறுவனத்தால் உருவாக்கப்பட்டது.
டெவலப்பர்கள் கடவுச்சொல் மேலாளர் LastPass , இது 33 மில்லியனுக்கும் அதிகமான மக்கள் மற்றும் 100.000 க்கும் மேற்பட்ட நிறுவனங்களால் பயன்படுத்தப்படுகிறது, தாக்குபவர்கள் காப்புப்பிரதிகளை அணுகும் ஒரு சம்பவம் குறித்து பயனர்களுக்கு அறிவிக்கப்பட்டது சேமிப்பு பயனர் தரவுகளுடன் சேவையிலிருந்து.
சேவையை அணுகிய பயனர்பெயர், முகவரி, மின்னஞ்சல், தொலைபேசி மற்றும் ஐபி முகவரிகள் போன்ற தகவல்களும், கடவுச்சொல் நிர்வாகியில் சேமிக்கப்பட்ட மறைகுறியாக்கப்பட்ட தளப் பெயர்கள் மற்றும் இந்தத் தளங்களில் சேமிக்கப்பட்ட உள்நுழைவுகள், கடவுச்சொற்கள், படிவத் தரவு மற்றும் மறைகுறியாக்கப்பட்ட குறிப்புகள் போன்ற தகவல்களும் தரவில் அடங்கும். .
உள்நுழைவுகள் மற்றும் கடவுச்சொற்களைப் பாதுகாக்க தளங்களின், AES குறியாக்கம் PBKDF256 செயல்பாட்டைப் பயன்படுத்தி உருவாக்கப்பட்ட 2-பிட் விசையுடன் பயன்படுத்தப்பட்டது. குறைந்தபட்சம் 12 எழுத்துகள் கொண்ட, பயனருக்கு மட்டுமே தெரிந்த முதன்மை கடவுச்சொல்லை அடிப்படையாகக் கொண்டது. LastPass இல் உள்ள உள்நுழைவுகள் மற்றும் கடவுச்சொற்களின் குறியாக்கம் மற்றும் மறைகுறியாக்கம் பயனர் தரப்பில் மட்டுமே செய்யப்படுகிறது, மேலும் முதன்மை கடவுச்சொல்லை யூகிப்பது நவீன வன்பொருளில் நம்பத்தகாததாக கருதப்படுகிறது, முதன்மை கடவுச்சொல்லின் அளவு மற்றும் PBKDF2 இன் மறுசெயல்களின் எண்ணிக்கை ஆகியவற்றின் அடிப்படையில்.
தாக்குதலை நடத்த, அவர்கள் ஆகஸ்ட் மாதம் நடந்த கடைசி தாக்குதலின் போது தாக்குபவர்களால் பெறப்பட்ட தரவைப் பயன்படுத்தினர், மேலும் இது சேவை உருவாக்குநர்களில் ஒருவரின் கணக்கை சமரசம் செய்வதன் மூலம் மேற்கொள்ளப்பட்டது.
ஆகஸ்ட் தாக்குதலின் விளைவாக, தாக்குபவர்கள் வளர்ச்சி சூழலுக்கான அணுகலைப் பெற்றனர், விண்ணப்பக் குறியீடு மற்றும் தொழில்நுட்ப தகவல். தாக்குபவர்கள் மற்றொரு டெவலப்பரைத் தாக்க மேம்பாட்டு சூழலில் இருந்து தரவைப் பயன்படுத்தினர், அதற்காக அவர்கள் கிளவுட் சேமிப்பகத்திற்கான அணுகல் விசைகளையும், அங்கு சேமிக்கப்பட்ட கொள்கலன்களிலிருந்து தரவை மறைகுறியாக்க விசைகளையும் பெற முடிந்தது. சமரசம் செய்யப்பட்ட கிளவுட் சேவையகங்கள் பணியாளரின் சேவைத் தரவின் முழு காப்புப்பிரதிகளை வழங்குகின்றன.
இந்த வெளிப்பாடு ஆகஸ்ட் மாதத்தில் LastPass வெளிப்படுத்திய ஓட்டைக்கான வியத்தகு புதுப்பிப்பைக் குறிக்கிறது. ஹேக்கர்கள் "மூலக் குறியீட்டின் சில பகுதிகளையும், LastPass இலிருந்து சில தனியுரிம தொழில்நுட்பத் தகவல்களையும் எடுத்தனர்" என்று வெளியீட்டாளர் ஒப்புக்கொண்டார். வாடிக்கையாளர் முதன்மை கடவுச்சொற்கள், மறைகுறியாக்கப்பட்ட கடவுச்சொற்கள், தனிப்பட்ட தகவல்கள் மற்றும் வாடிக்கையாளர் கணக்குகளில் சேமிக்கப்பட்ட பிற தரவு பாதிக்கப்படவில்லை என்று நிறுவனம் அப்போது கூறியது.
256-பிட் AES மற்றும் எங்கள் ஜீரோ நாலெட்ஜ் கட்டமைப்பைப் பயன்படுத்தி ஒவ்வொரு பயனரின் முதன்மை கடவுச்சொல்லில் இருந்து பெறப்பட்ட தனித்துவமான மறைகுறியாக்க விசையால் மட்டுமே டிக்ரிப்ட் செய்ய முடியும்,” என்று லாஸ்ட்பாஸ் தலைமை நிர்வாக அதிகாரி கரீம் டௌபா, மேம்பட்ட குறியாக்கத் திட்டத்தைப் பற்றி விளக்கினார். ஜீரோ நாலெட்ஜ் என்பது சேவை வழங்குநரால் சிதைக்க முடியாத சேமிப்பக அமைப்புகளைக் குறிக்கிறது. தலைமை நிர்வாக அதிகாரி தொடர்ந்தார்:
மீறலுக்குப் பிறகு அதன் பாதுகாப்பை வலுப்படுத்த LastPass எடுத்த பல தீர்வுகளையும் இது பட்டியலிட்டுள்ளது. ஹேக் செய்யப்பட்ட டெவலப்மென்ட் சூழலை நீக்குதல் மற்றும் புதிதாக மீண்டும் கட்டியெழுப்புதல், நிர்வகிக்கப்பட்ட இறுதிப்புள்ளி கண்டறிதல் மற்றும் பதிலளிப்பு சேவையை பராமரித்தல் மற்றும் சமரசம் செய்யப்பட்ட அனைத்து தொடர்புடைய சான்றுகள் மற்றும் சான்றிதழ்களை சுழற்றுதல் ஆகியவை படிகளில் அடங்கும்.
லாஸ்ட்பாஸ் சேமித்து வைத்திருக்கும் தரவுகளின் ரகசியத்தன்மையைக் கருத்தில் கொண்டு, இவ்வளவு பரந்த அளவிலான தனிப்பட்ட தரவுகள் பெறப்பட்டிருப்பது கவலையளிக்கிறது. பாஸ்வேர்ட் ஹாஷ்களை சிதைப்பது வளம் மிகுந்ததாக இருக்கும், குறிப்பாக தாக்குபவர்களின் முறை மற்றும் புத்தி கூர்மை ஆகியவற்றைக் கருத்தில் கொண்டு, அது கேள்விக்கு அப்பாற்பட்டது அல்ல.
LastPass வாடிக்கையாளர்கள் தங்கள் முதன்மை கடவுச்சொல்லை மாற்றிவிட்டதை உறுதி செய்ய வேண்டும் மற்றும் அனைத்து கடவுச்சொற்களும் உங்கள் பெட்டகத்தில் சேமிக்கப்படும். அவர்கள் இயல்புநிலை LastPass அமைப்புகளை மீறும் அமைப்புகளைப் பயன்படுத்துவதை உறுதிசெய்ய வேண்டும்.
இந்த உள்ளமைவுகள் கடவுச்சொற்கள் அடிப்படையிலான விசை வழித்தோன்றல் செயல்பாட்டின் (PBKDF100100) 2 மறு செய்கைகளைப் பயன்படுத்தி சேமிக்கப்பட்ட கடவுச்சொற்களைப் பயன்படுத்துகின்றன, இது நீண்ட, தனித்துவமான முதன்மை கடவுச்சொற்களை சிதைப்பதை சாத்தியமற்றதாக மாற்றும் ஒரு ஹாஷிங் திட்டமாகும், மேலும் தோராயமாக உருவாக்கப்பட்ட 100100 மறு செய்கைகள் OWASP- பரிந்துரைக்கப்பட்ட 310 இன் கீழ் பரிதாபகரமாக உள்ளது. LastPass பயன்படுத்தும் SHA000 ஹாஷ் அல்காரிதத்துடன் இணைந்து PBKDF2க்கான மறு செய்கைகள்.
LastPass வாடிக்கையாளர்கள் ஃபிஷிங் மின்னஞ்சல்கள் மற்றும் லாஸ்ட்பாஸில் இருந்து வந்ததாகக் கூறப்படும் தொலைபேசி அழைப்புகள் குறித்தும் அவர்கள் மிகவும் விழிப்புடன் இருக்க வேண்டும். அல்லது முக்கியமான தரவைத் தேடும் பிற சேவைகள் மற்றும் உங்கள் சமரசம் செய்யப்பட்ட தனிப்பட்ட தரவைப் பயன்படுத்தும் பிற மோசடிகள். லாஸ்ட்பாஸ் கூட்டமைப்பு உள்நுழைவு சேவைகளை செயல்படுத்திய நிறுவன வாடிக்கையாளர்களுக்கு நிறுவனம் குறிப்பிட்ட வழிகாட்டுதலையும் வழங்குகிறது.
இறுதியாக, நீங்கள் இதைப் பற்றி மேலும் தெரிந்து கொள்ள ஆர்வமாக இருந்தால், விவரங்களை ஆலோசிக்கலாம் பின்வரும் இணைப்பில்.