أعلن LastPass ، مطور تطبيق إدارة كلمات المرور الشهير ، أنه تعرض لخرق أمني خطير للغاية قد يؤدي إلى كشف كلمات مرور المستخدمين المخزنة في الخدمة.
وقالت الشركة إن المخترق تمكن من اختراق الكمبيوتر المنزلي لأحد موظفيها ، مما أدى إلى سرقة الخزنة الرقمية للشركة بشكل غير مشفر ، وكانت متاحة لعدد محدود من مطوري الشركة ، بحسب أيت نيوز.
وأضافت الشركة أن المخترق سرق مفاتيح الوصول إلى سحابة Amazon S3 ، حيث تخزن الشركة مفاتيح التشفير للنسخ الاحتياطية من خزائن مستخدمي التطبيق التي تحتوي على سجل كلمات المرور بالكامل.
تمكن المهاجم من الوصول إلى معلومات حساسة للغاية من خلال استغلال ثغرة أمنية في أحد تطبيقات مشغل الوسائط على كمبيوتر المهندس المخترق. من خلال هذه الثغرة الأمنية ، قام المتسلل بتنشيط الشفرة عن بُعد التي سمحت له بزرع برنامج تسجيل ضغطات المفاتيح ، مما مكنه من سرقة كلمة المرور الرئيسية للموظف.
بمجرد امتلاك القبو غير المشفر ، استخرج المخترق جميع البيانات الموجودة فيه ، بما في ذلك مفاتيح فك التشفير اللازمة للوصول إلى خوادم LastPass ومواقع النسخ الاحتياطي وقواعد البيانات.
يأتي هذا الخرق بعد شهرين فقط من خرق مشابه كشفت عنه الشركة سابقًا ، حيث حصل المتسللون على البيانات الشخصية لبعض مستخدمي LastPass.
وعلى الرغم من أن الشركة لم تؤكد تسريب معلومات مستخدميها ، إلا أنها حثت مستخدمي تطبيقها على تغيير كلمة المرور الرئيسية للتطبيق ، بالإضافة إلى تغيير جميع كلمات المرور المخزنة فيه.
وأشارت الشركة إلى أنها فتحت تحقيقًا لمعرفة المزيد من التفاصيل وبدأت في اتخاذ الإجراءات المناسبة لتعطيل الهجوم والتأكد من عدم تكراره في المستقبل.
LastPass هي خدمة إدارة كلمات المرور التي تتيح للمستخدمين تخزين ومزامنة كلمات المرور الخاصة بهم عبر الأجهزة والأنظمة الأساسية المختلفة. كما يوفر ميزات مثل إنشاء كلمات مرور آمنة وملء النماذج. لديها أكثر من 25 مليون مستخدم حول العالم.
