لقد ظهر LastPass في الأخبار كثيرًا خلال العقد الماضي. بعد بعض خروقات البيانات والحوادث الأمنية، ربما تتساءل عما إذا كان من الآمن الآن استخدام مدير كلمات المرور المعروف – سواء كنت مستخدم LastPass سابق أو حالي أو محتمل.
دعونا نلقي نظرة على ميزات LastPass الحالية وإجراءات الأمان بالإضافة إلى الأحداث السابقة.
ما هو لاست باس؟
LastPass هو تطبيق لإدارة كلمات المرور متاح على الويب وسطح المكتب والهاتف المحمول، بالإضافة إلى ملحقات المتصفح. فهو يوفر مصادقة متعددة العوامل، وتسجيل الدخول البيومتري، والملء التلقائي، ومولد كلمات المرور، ومراقبة الويب المظلم لتتوافق مع ميزات إدارة كلمات المرور الأساسية.
أما بالنسبة للأمان، يستخدم LastPass تشفير البيانات AES-256، وتجزئة PBKDF2 مع تمليح SHA-256، ونموذج المعرفة الصفرية. يحمل LastPass أيضًا العديد من شهادات الأمان بما في ذلك ISO 27001 وTRUSTe وSOC3 وغيرها.
حاليًا، لدى LastPass أكثر من 33 مليون مستخدم وإيرادات سنوية تقدر بـ 143.7 مليون دولار.
كل هذا يبدو رائعا، أليس كذلك؟ إذا ما هي المشكلة؟
الحوادث الأمنية LastPass
هناك سبب يجعل الناس يتساءلون عما إذا كان LastPass آمنًا للاستخدام. من المؤكد أن الخروقات الأمنية، إلى جانب سرقة المعلومات على مر السنين، تثير القلق. لفهم المزيد عن هذه الأحداث، دعونا نلقي نظرة على جدول زمني موجز لما حدث.
2011: إشعار أمني
اكتشف LastPass وجود خلل في حركة مرور الشبكة بالإضافة إلى عدم انتظام في إحدى قواعد بياناته. على الرغم من أنه لم يعثر على خرق محدد، إلا أن LastPass طلب من مستخدميه تغيير كلمات المرور الرئيسية الخاصة بهم خوفًا من احتمال اختراق بعض بياناته.
2015: خرق أمني
أبلغ LastPass مجتمعه بأنه “اكتشف وحظر الأنشطة المشبوهة” على شبكته. ذكر الإشعار أن عناوين البريد الإلكتروني، وتذكيرات كلمة المرور، وأملاح الخادم لكل مستخدم، وتجزئة المصادقة قد تم اختراقها. ومع ذلك، لم يتم العثور على دليل على سرقة بيانات قبو المستخدم، وذكر أنه لم يتم الوصول إلى حسابات المستخدمين.
2021: أدوات التتبع التابعة لجهات خارجية وكلمات المرور الرئيسية
اكتشف أحد مستخدمي LastPass العديد من أدوات التتبع التابعة لجهات خارجية في تطبيق Android للجوال. في حين أن برامج إدارة كلمات المرور المماثلة تحتوي أيضًا على هذه الأنواع من أدوات التتبع، فقد تم الإشارة إلى أن LastPass كان لديه أكبر عدد من البرامج بينها، 1Password، وBitwarden، وDashlane.
“لا يمكن تمرير أي بيانات حساسة لتحديد هوية المستخدم أو نشاط مخزن من خلال أدوات التتبع هذه. تقوم أدوات التتبع هذه بجمع بيانات إحصائية مجمعة محدودة حول كيفية استخدامك لـ LastPass، والتي يتم استخدامها لمساعدتنا على تحسين المنتج وتحسينه.
في وقت لاحق من عام 2021، تم الإبلاغ عن أنه تم إخطار مستخدمي LastPass عبر البريد الإلكتروني بأن كلمات المرور الرئيسية الخاصة بهم قد تم اختراقها وتم حظر محاولات تسجيل الدخول باستخدام كلمات المرور هذه. ومع ذلك، صرح ممثل LastPass أن الشركة حققت في هذه التقارير و”قررت أن النشاط مرتبط بنشاط شائع إلى حد ما يتعلق بالروبوتات…”
2022: سرقة البيانات
من المحتمل أن الحادث الأمني الأكثر تميزًا وقع عندما سرق أحد المتسللين نسخة من قاعدة بيانات عملاء LastPass، إلى جانب خزائن كلمات المرور والبيانات بما في ذلك الأسماء والبريد الإلكتروني وعناوين الفواتير وأرقام بطاقات الائتمان الجزئية وعناوين URL. كان هناك مزيج من البيانات المشفرة وغير المشفرة المعنية.
يبدأ تقرير حادثة LastPass الأمنية بالحادثة المذكورة أعلاه في أغسطس 2022. ثم تقوم بالتحديثات خلال الأشهر القليلة المقبلة، موضحة تحقيقها في نشاط غير عادي في خدمة تخزين سحابية مشتركة تابعة لجهة خارجية تستخدم لتخزين النسخ الاحتياطية إلى جانب البيانات الأخرى.
في وقت لاحق من عام 2022، ذكر LastPass أن البيانات التي تم الحصول عليها في حادثة أغسطس الأصلية تم استخدامها للوصول إلى معلومات العميل، لكن كلمات المرور ظلت مشفرة.
تمكن الشخص أو الكيان من الحصول على كود المصدر والمعلومات التقنية لاستهداف موظف LastPass لاحقًا. لقد حصلوا على بيانات الاعتماد والمفاتيح من أجل الوصول إلى وحدات تخزين التخزين وفك تشفيرها داخل تلك الخدمة السحابية. ثم قاموا بعد ذلك بنسخ المعلومات من نسخة احتياطية تحتوي على أسماء الشركات وأسماء المستخدمين وعناوين البريد الإلكتروني والفوترة وأرقام الهواتف وعناوين IP.
في سبتمبر 2023، تم العثور على رابط بين حادثة سرقة البيانات لعام 2022 وسرقة أكثر من 35 مليون دولار من العملات المشفرة من أكثر من 150 ضحية منذ ديسمبر الماضي.
تدابير أمنية إضافية لـ LastPass
كما ذكرنا سابقًا، يستخدم LastPass معيار الصناعة للتشفير، وتجزئة PBKDF2 مع التمليح، وطريقة المعرفة الصفرية لحماية بياناتك.
ويخضع أيضًا لعمليات تدقيق واختبار روتينية لخدمته وبنيته التحتية، ويوفر للمستخدمين إمكانية الوصول إلى فريق الأمان الخاص به للإبلاغ عن نقاط الضعف المحتملة. يستخدم LastPass أيضًا ما يسمى ببرنامج Bug Bounty حيث يمكن للمتسللين ذوي القبعة البيضاء إرسال الأخطاء التي يجدونها.
هل يجب عليك استخدام LastPass؟
مع الإجراءات الأمنية الحالية، ومجموعة الميزات الجيدة، وملايين المستخدمين، يبدو من المعقول استخدام LastPass كمدير كلمات المرور المفضل لديك – إذا كان بإمكانك تجاوز الحوادث الأمنية التي امتدت لأكثر من عقد من الزمن.
ولكن هذا هو حقا ما يتعلق الأمر. يستطيع أنت ننظر إلى ما بعد الأحداث؟ كان أنت هل تشعر أن بياناتك آمنة؟ كم هي الثقة أنت على استعداد لوضع في LastPass؟
هناك العديد من الشركات التي تقدم منتجات لإدارة كلمات المرور والتي لم تتصدر عناوين الأخبار أو تعرضت لحوادث مثل LastPass. ويبدو بالتأكيد أن LastPass لديه هدف دائم على ظهره من المتسللين واللصوص. نأمل أن تتخذ الشركة الإجراءات اللازمة لإصلاح المشكلات، ولكن الآن، سيتعين عليك أن تقرر ما إذا كان الأمر يستحق المخاطرة.