News Archyuk

लास्टपास को हाल के उल्लंघन पर बढ़ती आलोचनाओं का सामना करना पड़ रहा है

पासवर्ड मैनेजर लास्टपास को हाल ही में डेटा ब्रीच से आलोचना का सामना करना पड़ रहा है, जिसमें अनएन्क्रिप्टेड वेबसाइट URL सहित उपयोगकर्ता की जानकारी को उजागर किया गया है।

GoTo (पूर्व में LogMeIn) की सहायक कंपनी लास्टपास ने पिछले महीने खुलासा किया था कि एक खतरे वाले अभिनेता ने नाम, टेलीफोन नंबर, बिलिंग पते और बहुत कुछ सहित महत्वपूर्ण व्यक्तिगत ग्राहक जानकारी चुरा ली थी।

पासवर्ड मैनेजर ने 22 दिसंबर को अपने ब्लॉग पोस्ट में खुलासा करते हुए एक अपडेट प्रकाशित किया अगस्त की सुरक्षा भंग. 25 अगस्त को, लास्टपास के सीईओ करीम तौबा ने लिखा कि एक “अनधिकृत पार्टी” ने एक डेवलपर खाते से समझौता करके लास्टपास के विकास के माहौल तक पहुंच प्राप्त की। परिणामस्वरूप, “स्रोत कोड के अंश और कुछ मालिकाना लास्टपास तकनीकी जानकारी” चोरी हो गई।

15 सितंबर के अपडेट ने अतिरिक्त तकनीकी विवरण प्रदान किए, जबकि 30 नवंबर को अपडेट किया गया पोस्ट एक हालिया “सुरक्षा घटना” का संदर्भ दिया जो वर्तमान में जांच के अधीन थी। उस समय, टूबा ने केवल इतना कहा कि एक अनधिकृत पक्ष ने अगस्त 2022 में प्राप्त जानकारी का लाभ उठाया था ताकि “हमारे ग्राहकों की जानकारी के कुछ तत्वों” तक पहुंच प्राप्त की जा सके। यह वह घटना थी जिसका विवरण 22 दिसंबर के ब्लॉग पोस्ट अपडेट में दिया गया था।

सीईओ के अनुसार, एक अनाम खतरे वाले अभिनेता ने अगस्त के उल्लंघन से चुराए गए स्रोत कोड और तकनीकी डेटा का इस्तेमाल दूसरे कर्मचारी को लक्षित करने और साख और चाबियों को चुराने के लिए किया। ये चाबियां, जिनमें दोहरी भंडारण कंटेनर डिक्रिप्शन कुंजियां और क्लाउड स्टोरेज एक्सेस कुंजी शामिल थीं, का उपयोग बैकअप से ग्राहक जानकारी तक पहुंचने और कॉपी करने के लिए किया गया था।

यह ग्राहक डेटा, टूबा ने लिखा, “कंपनी के नाम, अंतिम-उपयोगकर्ता नाम, बिलिंग पते, ईमेल पते, टेलीफोन नंबर और आईपी पते शामिल हैं, जिनसे ग्राहक लास्टपास सेवा तक पहुंच बना रहे थे।” धमकी देने वाले ने ग्राहक वॉल्ट डेटा का बैकअप भी प्राप्त किया जिसमें एन्क्रिप्टेड वेबसाइट उपयोगकर्ता नाम और पासवर्ड के साथ-साथ वेबसाइट URL जैसे अनएन्क्रिप्टेड डेटा शामिल थे।

हालांकि पासवर्ड चोरी को आमतौर पर पासवर्ड मैनेजर के लिए सबसे खराब स्थिति माना जाएगा, तौबा ने कहा कि ग्राहक के लास्टपास मास्टर पासवर्ड को क्रैक करने में “लाखों साल” लगेंगे – जो एन्क्रिप्टेड वेबसाइट लॉगिन को क्रैक करने के लिए आवश्यक है।

“ये एन्क्रिप्टेड फ़ील्ड 256-बिट एईएस एन्क्रिप्शन के साथ सुरक्षित रहते हैं और केवल हमारे जीरो नॉलेज आर्किटेक्चर का उपयोग करके प्रत्येक उपयोगकर्ता के मास्टर पासवर्ड से प्राप्त एक अद्वितीय एन्क्रिप्शन कुंजी के साथ डिक्रिप्ट किए जा सकते हैं,” उन्होंने लिखा। “एक अनुस्मारक के रूप में, मास्टर पासवर्ड लास्टपास के लिए कभी भी ज्ञात नहीं होता है और लास्टपास द्वारा संग्रहीत या बनाए रखा नहीं जाता है।”

फिर भी, लास्टपास के व्यवसाय और व्यक्तिगत उपयोग के ग्राहकों से प्राप्त अनएन्क्रिप्टेड डेटा का उपयोग सोशल इंजीनियरिंग और फ़िशिंग हमलों में किया जा सकता है, जिसे तौबा ने पोस्ट में स्वीकार किया है।

“यह जानना महत्वपूर्ण है कि लास्टपास आपको कभी भी कॉल, ईमेल या टेक्स्ट नहीं करेगा और आपकी व्यक्तिगत जानकारी को सत्यापित करने के लिए लिंक पर क्लिक करने के लिए कहेगा।” “लास्टपास क्लाइंट से आपके वॉल्ट में साइन इन करने के अलावा, लास्टपास आपसे कभी भी आपका मास्टर पासवर्ड नहीं मांगेगा।”

लास्टपास के सीईओ करीम तौबा ने पिछले अगस्त में हुए एक अलग-लेकिन-संबंधित उल्लंघन का खुलासा करते हुए अपने ब्लॉग पोस्ट के अपडेट में नए उल्लंघन का खुलासा किया।

लास्टपास आलोचना

उपयोगकर्ताओं को आश्वस्त करने के लास्टपास के प्रयास के बावजूद, इन्फोसेक उद्योग में कुछ लोगों ने सार्वजनिक रूप से कंपनी की प्रतिक्रिया के साथ-साथ इसकी सुरक्षा मुद्रा की भी आलोचना की।

यह पूछे जाने पर कि क्या पासवर्ड मैनेजर के लिए लास्टपास ब्रीच सबसे खराब स्थिति थी, 1पासवर्ड के सीईओ जेफ शाइनर ने सहमति व्यक्त की।

“डेटाबेस की एक प्रति लेने की चुनौती का मतलब है [the threat actor has] उस जानकारी की प्रति ऑफ़लाइन है,” उन्होंने कहा। “तो न केवल वे अपने स्वयं के अवकाश पर इसे क्रूर करने का प्रयास कर सकते हैं, बल्कि दुर्भाग्य से, खाते के मास्टर पासवर्ड को बदलने जैसी चीजें – हालांकि अभी भी स्पष्ट रूप से अनुशंसित हैं – नहीं जा रही हैं खाते की अपनी प्रति को डिक्रिप्ट करने की धमकी देने वाले अभिनेता की क्षमता पर प्रभाव डालने के लिए।”

कुछ infosec विशेषज्ञों ने यह भी सवाल किया कि लास्टपास ने उपयोगकर्ताओं की वेबसाइट URL को अनएन्क्रिप्टेड क्यों छोड़ना चुना। इस महीने की शुरुआत में एक ब्लॉग पोस्ट में, मालवेयरबाइट्स के मैलवेयर इंटेलिजेंस रिसर्चर पीटर अर्न्ट्ज़ ने लिखा था कि सुरक्षा शोधकर्ता अनएन्क्रिप्टेड URL के बारे में चिंतित थे।

“यह समझना वास्तव में कठिन है कि लास्टपास वेबसाइट URL को संवेदनशील क्षेत्रों पर विचार क्यों नहीं करेगा और यह आपको आश्चर्यचकित करता है कि अन्य अनएन्क्रिप्टेड डेटा क्या है,” अर्न्त्ज़ ने लिखा है कि लक्षित फ़िशिंग हमले लास्टपास उपयोगकर्ताओं को “रसदार शिकार” बना सकते हैं।

जॉन स्कॉट-रेलटन, टोरंटो विश्वविद्यालय में सिटीजन लैब के एक वरिष्ठ शोधकर्ता, एक कदम आगे बढ़े, यह देखते हुए कि वेबसाइट URL में कभी-कभी उपयोगकर्ता खाता टोकन, एपीआई कुंजियाँ और क्रेडेंशियल डेटा हो सकते हैं। “[The] नवीनतम LastPass उल्लंघन आपके विचार से भी बदतर हो सकता है,” उन्होंने कहा ट्विटर.

ग्राहकों ने भी अपनी नाराजगी जाहिर की है। इस महीने की शुरुआत में, मैसाचुसेट्स में स्थित एक गुमनाम लास्टपास ग्राहक एक वर्ग कार्रवाई मुकदमा दायर किया कंपनी के खिलाफ। व्यक्ति ने कहा कि उन्होंने अपने लास्टपास खाते में बिटकॉइन की निजी चाबियां संग्रहीत कीं और दावा किया कि एक खतरे वाले अभिनेता ने खाते तक पहुंच बनाई और थैंक्सगिविंग के आसपास क्रिप्टोक्यूरेंसी में $ 53,000 चुरा लिए।

प्रतियोगियों का वजन होता है

लास्टपास उल्लंघन पर अन्य पहचान और पहुंच प्रबंधन कंपनियों का वजन हुआ।

1 पासवर्ड एक ब्लॉग पोस्ट प्रकाशित किया 28 दिसंबर को “नॉट इन अ मिलियन इयर्स: इट कैन टेक फार लेस कम टू क्रैक ए लास्टपास पासवर्ड।” पोस्ट का तर्क है कि लास्टपास का “मिलियन्स इयर्स” तर्क त्रुटिपूर्ण है क्योंकि यह “इस धारणा पर भरोसा करता है कि लास्टपास उपयोगकर्ता का 12-वर्ण का पासवर्ड पूरी तरह से यादृच्छिक प्रक्रिया के माध्यम से उत्पन्न हुआ था,” लेकिन लास्टपास मास्टर पासवर्ड स्वयं उपयोगकर्ताओं द्वारा उत्पन्न किए जाते हैं। .

लेखक और 1पासवर्ड के प्रमुख सुरक्षा वास्तुकार जेफरी गोल्डबर्ग ने लिखा, “मनुष्यों द्वारा बनाए गए पासवर्ड उस आवश्यकता को पूरा करने के करीब नहीं आते हैं।” “मनुष्य केवल उच्च-एन्ट्रॉपी पासवर्ड नहीं बना सकता है। अक्षरों, संख्याओं और प्रतीकों के मिश्रण के साथ पासवर्ड बनाने के लिए चतुर योजनाएँ अच्छे से अधिक नुकसान करती हैं।”

गोल्डबर्ग ने कहा कि पासवर्ड क्रैकिंग सिस्टम पहले संभावित पासवर्ड को प्राथमिकता देने के लिए बनाए गए हैं, और लास्टपास मास्टर पासवर्ड के खिलाफ दस बिलियन अनुमान “$100 से कम खर्च होंगे।” लास्टपास मास्टर पासवर्ड-केंद्रित सिस्टम वाला एकमात्र पासवर्ड मैनेजर नहीं है; कई अन्य पासवर्ड मैनेजर भी ऐसा करते हैं।

गोल्डबर्ग ने लास्टपास के मास्टर पासवर्ड सिस्टम की तुलना 1पासवर्ड के “सीक्रेट की” सिस्टम से की है, जो एक मशीन-जनित 34-कैरेक्टर की है जो डैश द्वारा अलग की गई है जो उपयोगकर्ता के अकाउंट पासवर्ड के साथ काम करती है। गोल्डबर्ग ने कहा कि क्योंकि गुप्त कुंजी का अनुमान नहीं लगाया जा सकता है और कभी भी 1पासवर्ड सिस्टम को या उसके माध्यम से पास नहीं किया जाता है, उल्लंघन की स्थिति में 1पासवर्ड ग्राहक डेटा पूरी तरह से सुरक्षित रहेगा।

शाइनर ने कहा कि 1पासवर्ड ने ग्राहकों की चिंताओं को कम करने के लिए ब्लॉग पोस्ट को आंशिक रूप से प्रकाशित करने का निर्णय लिया।

उन्होंने कहा, “इस तरह के घर के करीब आने वाले उल्लंघनों के कारण ग्राहकों को सामान्य रूप से पासवर्ड प्रबंधकों के साथ चिंता होती है या इसके बारे में सवाल होते हैं।” “और हमें यह भी सवाल मिलता है कि हम कैसे अलग हैं [competitors] और हमारा सुरक्षा दृष्टिकोण। हम विश्वास के साथ कह सकते हैं कि यदि हमारे डेटा का उल्लंघन किया गया तो डेटा सुरक्षित रहेगा। ऐसा कुछ है जो मुझे लगता है कि हमारे ग्राहकों को आश्वस्त करने के लिए हमारे लिए महत्वपूर्ण है।”

TechTarget संपादकीय ने लास्टपास से पोस्ट के दावे के बारे में पूछा, लेकिन कंपनी ने टिप्पणी करने से इनकार कर दिया।

पासवर्ड प्रबंधन कंपनी डैशलेन के सीईओ जेडी शर्मन ने TechTarget संपादकीय को बताया कि उनका संगठन अपनी सुरक्षा मुद्रा को लेकर आश्वस्त है। हालांकि, उन्होंने कहा कि वे कोशिश करेंगे और उल्लंघन से सीखेंगे और साथ ही “हम जो सावधानियां और सुरक्षा उपाय अपनाएंगे, उनका परीक्षण करेंगे।”

यह पूछे जाने पर कि क्या वह चिंतित थे कि पासवर्ड प्रबंधन उद्योग और उपभोक्ता विश्वास के लिए उल्लंघन का क्या मतलब है, शर्मन ने कहा कि वह शुरू में चिंतित थे, लेकिन वे चिंताएं निराधार साबित हुई हैं।

“इस तरह के खतरों के बारे में जागरूकता बढ़ गई है,” उन्होंने कहा। “और यदि आप सब्सक्रिप्शन वृद्धि और व्यवसायों से प्राप्त होने वाली पूछताछ की संख्या को देखते हैं, तो हमने वास्तव में नाटकीय वृद्धि देखी है। अब उनमें से कुछ सामान्य खरीदार बाजार में स्थानांतरित हो सकते हैं। लेकिन मुझे लगता है कि कुल मिलाकर यह , जहां लोग हैं वहां एक टेलविंड बनने जा रहा है [going to feel that they have] सुरक्षा के इस पहलू पर ध्यान देना शुरू करने के लिए, जिसे काफी हद तक नजरअंदाज कर दिया गया है।”

पासवर्ड रहित तकनीक में स्थानांतरण?

यह स्पष्ट नहीं है कि लास्टपास ब्रीच का पासवर्ड मैनेजर बाजार पर दीर्घकालिक प्रभाव क्या हो सकता है। प्रमाणीकरण तकनीक का एक टुकड़ा जो इस तरह के उल्लंघनों के नुकसान को सीमित करने में मदद कर सकता है पासवर्ड रहित प्रमाणीकरणके रूप में अक्सर देखा जाता है फिडो-अनुपालन भौतिक सुरक्षा कुंजी।

वेब होस्टिंग और सामग्री प्रबंधन कंपनी पेंथियन के सीटीओ डेविड स्ट्रॉस ने TechTarget संपादकीय को बताया कि उन्हें उम्मीद है कि पासवर्ड एक दिन बेहतर विकल्पों से बदल दिए जाएंगे।

“मुझे आशा है कि हम अंततः FIDO’s Passkeys जैसे बेहतर तरीकों के पक्ष में पासवर्ड हटा देंगे। तब तक, सबसे सुरक्षित विकल्प एक पासवर्ड प्रबंधक का उपयोग करना है जो हर वेबसाइट के लिए अद्वितीय पासवर्ड बनाता और सिंक करता है,” उन्होंने कहा।

डैशलेन ने पासकी के लिए समर्थन शुरू किया पिछले साल और मंगलवार को घोषणा की कि इसने कंपनी के पासवर्ड रहित पुश का नेतृत्व करने के लिए एक नए मुख्य उत्पाद अधिकारी, डोनाल्ड हसन को नियुक्त किया है। 1पासवर्ड, इस बीच, नवंबर में घोषित किया इसने ऑथेंटिकेशन टेक्नोलॉजी कंपनी पैसेज का अधिग्रहण किया था ताकि पासकी अपनाने में पूर्व के पुश को तेज किया जा सके।

लास्टपास ने पिछली गर्मियों में इसी तरह लॉन्च किया था लास्टपास ऑथेंटिकेटर, एक विकल्प जो उपयोगकर्ताओं को अपने मास्टर पासवर्ड के साथ एक बार प्रत्येक विश्वसनीय डिवाइस को सत्यापित करने के बाद अपने पासवर्ड वॉल्ट तक एक-टैप पहुंच प्राप्त करने की अनुमति देता है। भविष्य के लिए बायोमेट्रिक और पासकी एकीकरण की योजना है।

1पासवर्ड के शाइनर ने कहा कि हालांकि इसमें लंबा समय लगेगा, यह लोगों और व्यवसायों को सुरक्षा और उपयोग में आसानी दोनों कारणों से पासवर्ड रहित प्रमाणीकरण की ओर ले जाने के लायक है।

“हम लोगों और व्यवसायों को इस पासवर्ड रहित रास्ते की ओर ले जाने की कोशिश कर रहे हैं। और मुझे लगता है कि जबकि यह एक बहु-वर्ष का मार्ग है, यह कुछ ऐसा है जो लंबी अवधि में सुरक्षा और सुविधा दोनों दृष्टिकोणों से मदद करना जारी रख सकता है – जो अंततः क्या है हम पूरा करने की कोशिश कर रहे हैं।”

“मुझे लगता है कि इस पासवर्ड रहित युग में प्रवेश करने में मदद करने के लिए पासवर्ड प्रबंधकों के रूप में यह हमारा काम है,” शर्मन ने कहा।

अलेक्ज़ेंडर कुलाफ़ी बोस्टन में स्थित एक लेखक, पत्रकार और पॉडकास्टर हैं।

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Most Popular

Get The Latest Updates

Subscribe To Our Weekly Newsletter

No spam, notifications only about new products, updates.

Categories

On Key

Related Posts

ओज़ेम्पिक ले रहे हैं? यहां साइड इफेक्ट्स हैं जिन्हें आपको जानना चाहिए

वजन कम करने वाली दवा ओज़ेम्पिक ने पिछले साल सार्वजनिक चेतना में धूम मचाई, और दवा के लिए सोशल मीडिया-ईंधन की इच्छा के कारण टाइप

पेसर्स सी माइल्स टर्नर, एक लोकप्रिय व्यापार लक्ष्य, कथित तौर पर 2-वर्ष, 60 मिलियन विस्तार के लिए सहमत हैं

मायल्स टर्नर इंडियाना पेसर्स के साथ रह रहे हैं, इस सीजन में पेंट में अपग्रेड की तलाश कर रही कुछ टीमों की निराशा की संभावना

टिकटॉक के ओपन सीक्रेट पर नई चेतावनी

जैसा कि टेक कंपनियां क्रूर कटबैक की घोषणा करती हैं, टिक टोक के बढ़ते प्रभाव और इसकी शक्ति के बारे में बात करना जारी है।

टायर निकोल्स, रोडनी किंग हमें नस्ल, पुलिसिंग के बारे में क्या बताते हैं

लोरा डेने किंग का मेम्फिस पुलिस द्वारा टायर निकोल्स की पिटाई के पांच मिनट भी देखने का कोई इरादा नहीं था। “ईमानदारी से, मुझे अपनी