ข้อผิดพลาดไร้สาระที่ทำให้รหัสผ่านนับล้านถูกขโมย

March 6, 2023 แมตต์มิลส์ อินเทอร์เน็ต 0

ผู้จัดการรหัสผ่านที่เป็นที่รู้จักรายนี้ประสบกับหนึ่งในนั้น การรั่วไหลของข้อมูลที่ใหญ่ที่สุด . แม้ว่าตั้งแต่ต้น พวกเขารับรองผู้ใช้ว่ารหัสผ่านของพวกเขาปลอดภัย ความจริงก็คือการโจมตีที่พวกเขาประสบในเดือนสิงหาคมปีที่แล้วนั้นเลวร้ายกว่าที่พวกเขาคาดไว้ ยิ่งกว่าสิ่งใด เนื่องจากผู้โจมตีคอมพิวเตอร์สามารถเข้าถึงข้อมูลของผู้ใช้ได้

ตัวเลือกนี้เป็นหนึ่งในทางเลือกที่รู้จักกันดีที่สุด เพื่อให้ผู้ใช้สามารถจัดเก็บรหัสผ่านแต่ละรายการได้อย่างปลอดภัย อย่างไรก็ตาม นับตั้งแต่ที่เขาโดนแฮ็ก สิ่งต่างๆ ก็เปลี่ยนไป โดยเฉพาะอย่างยิ่งเมื่อพวกเขาจัดการได้ เพื่อขโมยห้องนิรภัยรหัสผ่าน . อย่างไรก็ตาม คุณรู้อยู่แล้วว่าใช้วิธีใด

ข้อผิดพลาดไร้สาระที่ทำให้รหัสผ่านนับล้านถูกขโมย

รหัสผ่านถูกขโมยได้อย่างไร

ในตอนแรกหลังจากเริ่มการสอบสวนทุกสิ่งที่เกิดขึ้นหลังจากตระหนักถึงการละเมิดความปลอดภัย จาก LastPass พวกเขาทำให้แน่ใจว่าไม่มีหลักฐานว่าแฮ็กเกอร์สามารถเข้าถึงข้อมูลหรือห้องเก็บรหัสผ่านที่เข้ารหัสได้

อย่างไรก็ตาม หลายเดือนต่อมา สิ่งที่เลวร้ายที่สุดก็ได้รับการยืนยันว่าอาชญากรไซเบอร์จัดการได้อย่างแท้จริง เพื่อดาวน์โหลดสำเนาของห้องนิรภัยทั้งหมด พวกเขาเก็บไว้ แต่มันประสบความสำเร็จได้อย่างไร? เรารู้แล้ว ผู้โจมตีสามารถขโมยรหัสผ่าน LastPass ได้โดยการเข้าถึงพีซีของพนักงาน พูดให้ถูกคือ แฮ็กเกอร์สามารถเข้าถึง วิศวกร DevOps ห้องนิรภัย LastPass ขององค์กร

LastPass

ด้วยวิธีนี้ ผู้โจมตีสามารถส่งออก LastPass vault ดั้งเดิมทั้งหมดและเนื้อหาของโฟลเดอร์แชร์ที่พนักงานคนนี้มีในพีซีของเขา ในนั้นคุณจะพบบางอย่าง ' บันทึกย่อที่ปลอดภัยเข้ารหัสพร้อมคีย์การเข้าถึงและถอดรหัสที่จำเป็นในการเข้าถึงการผลิต AWS S3 LastPass การสำรองข้อมูล '

ดังนั้นเรากำลังพูดถึงแฮ็กเกอร์ที่สามารถทำได้ บุกเข้าไปใน LastPass และขโมยข้อมูลสำคัญจำนวนมากโดยที่การรักษาความปลอดภัยของผู้จัดการรหัสผ่านไม่สามารถทำอะไรกับมันได้

ข้อมูลที่เข้ารหัส LastPass

อย่างไรก็ตาม ดังที่เราเห็นในเดือนธันวาคมปีที่แล้ว เมื่อ LastPass อ้างว่าข้อมูลที่เข้ารหัสที่ถูกขโมยนั้นยังคงปลอดภัย เนื่องจากมันมี การเข้ารหัส AES 256 บิต . ความจริงก็คือ กรณีโดยทั่วไปดูไม่ดีสำหรับผู้จัดการ เนื่องจากอาชญากรไซเบอร์ได้ขโมยข้อมูลสำคัญไปเป็นจำนวนมาก

ทุกอย่างจะขึ้นอยู่กับว่าเราเชื่อถือ LastPass จริงหรือไม่ เนื่องจากตามที่ระบุไว้แล้วก็เป็นได้เท่านั้น ถอดรหัสด้วยรหัสผ่านหลัก ซึ่งไม่ได้จัดเก็บไว้ในฐานข้อมูล ดังนั้นพวกเขาจึงไม่สามารถรับมันได้ อย่างไรก็ตาม แฮ็กเกอร์สามารถจัดการรหัสผ่านหลักของพนักงานที่ได้รับผลกระทบนี้ได้

ดังนั้น หากสามารถทำลายการเข้ารหัส AES 256 บิตได้ รหัสผ่านหลักที่ใช้ใน LastPass จะต้องเปลี่ยน นอกเหนือจากรหัสผ่านทั้งหมดของไซต์ต่างๆ ที่เราจัดการด้วยแพลตฟอร์มเฉพาะนี้ ดังนั้นคุณจะต้องให้ความสนใจอย่างใกล้ชิดหากคุณจะใช้ตัวจัดการนี้ต่อไป