LastPass ถูกแฮ็ก: วิธีป้องกันตัวเองเมื่อบริษัทยืนยันการละเมิด

ในคำแนะนำที่เผยแพร่เมื่อวันที่ 25 สิงหาคม Karim Toubba ซีอีโอของ LastPass ระบุว่ามีบุคคลที่ไม่ได้รับอนุญาตได้ขโมย ' บางส่วนของซอร์สโค้ดและข้อมูลทางเทคนิค LastPass ที่เป็นกรรมสิทธิ์บางส่วน ” อย่างไรก็ตาม รหัสผ่านหรือบัญชีของลูกค้าไม่ได้รับผลกระทบ

บริษัทจัดการรหัสผ่านถูกแฮ็กเมื่อสองสามสัปดาห์ก่อนในการละเมิดความปลอดภัยครั้งใหญ่ที่สุดครั้งหนึ่งในปี 2022 คนวงในเปิดเผยรายละเอียดบางอย่างกับสำนักข่าวหลายแห่งที่ระบุว่าพนักงานพยายามกันไม่ให้มีการโจมตีหลังจากการละเมิด

LastPass ถูกแฮ็กเมื่อสองสัปดาห์ก่อน ออกคำแนะนำเมื่อ 25 สิงหาคม

แฮ็กเกอร์แทรกซึม LastPass ซึ่งเป็นผู้จัดการรหัสผ่านของ GoTo (ก่อนหน้านี้คือ LogMeIn, Inc) ซึ่งเป็นเจ้าของเมื่อสองสัปดาห์ก่อน การตรวจสอบเบื้องต้นของบริษัทพบว่าการบุกรุกทำได้เพียงยึดระบบภายในของบริษัทเพื่อการพัฒนาซอฟต์แวร์เท่านั้น

โชคดีที่ไม่มีข้อมูลเกี่ยวกับรหัสผ่านและรายละเอียดของลูกค้าได้รับผลกระทบ ในวันพฤหัสบดีที่ 25 สิงหาคม 2022 LastPass ได้ส่งอีเมลถึงลูกค้าเกี่ยวกับการละเมิด

“ เราได้พิจารณาแล้วว่าบุคคลที่ไม่ได้รับอนุญาตได้เข้าถึงบางส่วนของสภาพแวดล้อมการพัฒนา LastPass ผ่านบัญชีนักพัฒนาที่ถูกบุกรุกบัญชีเดียว และรับส่วนของซอร์สโค้ดและข้อมูลทางเทคนิคของ LastPass ที่เป็นกรรมสิทธิ์บางส่วน ” อีเมลระบุ

“ เราไม่มีหลักฐานว่าเหตุการณ์นี้เกี่ยวข้องกับการเข้าถึงข้อมูลลูกค้าหรือห้องนิรภัยรหัสผ่านที่เข้ารหัส ” มันเสริม

LastPass ได้ใช้มาตรการกักกันและบรรเทาสาธารณภัย

เพื่อตอบสนองต่อการละเมิดข้อมูล LastPass ได้ปรับใช้ “มาตรการกักกันและบรรเทาผลกระทบ” นอกจากนี้ พวกเขายังได้ว่าจ้างบริษัทรักษาความปลอดภัยทางไซเบอร์ชั้นนำเพื่อตรวจสอบการบุกรุก บริษัทยังได้โพสต์ an คำถามที่พบบ่อย ยืนยันว่าผลิตภัณฑ์และบริการ LastPass ทั้งหมดไม่หยุดชะงักและทำงานตามปกติ

LastPass ไม่ได้เปิดเผยรายละเอียดอื่นใดเนื่องจากผู้จัดการรหัสผ่านเริ่มการสอบสวนทางนิติเวช อย่างไรก็ตาม ความกังวลหลักยังคงอยู่ที่ข้อมูลที่เป็นกรรมสิทธิ์ที่ถูกขโมยอาจทำให้อาชญากรไซเบอร์ค้นพบช่องโหว่ในการดำเนินงานของบริษัท

สำหรับตอนนี้ คำถามที่พบบ่อยของบริษัทระบุว่า LastPass ไม่ได้จัดเก็บข้อมูลใน “รหัสผ่านหลัก” ที่ลูกค้าใช้ในการเข้าถึงบัญชีของตนผ่านบริการจัดการรหัสผ่าน

แต่บริษัทใช้กลไก 'การเข้ารหัสที่ไม่มีความรู้' เพื่อปลดล็อกการเข้าถึงบัญชีผู้ใช้ ซึ่งหมายความว่ารหัสผ่านหลักจะถูกเก็บไว้ในอุปกรณ์ของลูกค้าและหน่วยความจำเท่านั้น

จะป้องกันตัวเองจากการละเมิดข้อมูล LastPass ได้อย่างไร

เนื่องจาก LastPass ไม่ได้จัดเก็บรหัสผ่านมาสเตอร์ไว้ที่ใด และใช้โมเดล 'ไม่มีความรู้' คุณจึงไม่ต้องกังวลหากคุณเป็นผู้ใช้ LastPass อย่างไรก็ตาม บริษัทยังคงกังวลที่จะป้องกันการพยายามแฮ็คหรือการประนีประนอมในอนาคต

คำถามที่พบบ่อยของผู้จัดการรหัสผ่านยังระบุด้วยว่า “ในขณะนี้ เราไม่แนะนำให้ดำเนินการใดๆ ในนามของผู้ใช้หรือผู้ดูแลระบบของเรา” หากคุณยังกังวลอยู่ คุณสามารถใช้มาตรการทั่วไป เช่น เปลี่ยนรหัสผ่านมาสเตอร์และไม่เก็บไว้ในอุปกรณ์ของคุณ

คุณควรใช้ตัวอักษรและตัวเลขผสมกันเพื่อสร้างรหัสผ่านของคุณ อย่าใช้ชุดสุ่ม เช่น 12345678 หรือคำทั่วไป เช่น ชื่อหรือตำแหน่งของคุณ การใช้รหัสผ่านออนไลน์ที่ยากต่อการถอดรหัสเป็นสิ่งจำเป็นในทุกวันนี้

เปลี่ยนรหัสผ่านมาสเตอร์ LastPass ของคุณ

รหัสผ่านหลักสำหรับบัญชี LastPass ของคุณเป็นคีย์แบบ all-in-one ที่ปลดล็อกการเข้าถึงทุกอย่างในบัญชีของคุณ รวมถึงรหัสผ่านของไซต์ บันทึกย่อ การกรอกแบบฟอร์ม ฯลฯ ทำตามขั้นตอนเหล่านี้เพื่อเปลี่ยนรหัสผ่านมาสเตอร์ LastPass ของคุณ:

• เปิดเว็บเบราว์เซอร์และไปที่ หน้านี้ .
• ตอนนี้เข้าสู่ระบบด้วยที่อยู่อีเมลและรหัสผ่านหลักของคุณ
• จากนั้นเลือกการตั้งค่าบัญชีจากการนำทางด้านซ้าย
• บนแท็บทั่วไป คลิกที่ 'เปลี่ยนรหัสผ่านหลัก'

• ตอนนี้ป้อนรหัสผ่านหลักปัจจุบันของคุณ
• ถัดไป ป้อนรหัสผ่านหลักใหม่และป้อนคำใบ้รหัสผ่าน
• สุดท้าย คลิกที่ 'บันทึกรหัสผ่านหลัก'

หลังจากรีเซ็ตรหัสผ่านหลักแล้ว ให้เขียนลงบนกระดาษโดยใช้ปากกาลูกลื่นและเก็บกระดาษไว้ในที่ปลอดภัย อย่าทิ้งลงในลิ้นชักแบบสุ่มหรือใต้ที่นอนของคุณ แนะนำให้ทำสำเนากระดาษด้วย

LastPass ยังประสบกับ Credential Stuffing เมื่อปีที่แล้ว

LastPass ยังประสบกับการโจมตีแบบใส่ข้อมูลประจำตัวในปีที่แล้ว ซึ่งส่งผลให้ผู้คุกคามเข้าถึงรหัสผ่านหลักได้ บริษัทยืนยันว่ารหัสผ่านหลักถูกขโมยโดยแฮกเกอร์ ผู้บุกรุกยังแจกจ่ายมัลแวร์ขโมยรหัสผ่าน RedLine ในระบบอีกด้วย

LastPass ออกแถลงการณ์ต่อไปนี้เพื่อตอบสนองต่อการโจมตี “ การค้นพบครั้งแรกของเราทำให้เราเชื่อว่าการแจ้งเตือนเหล่านี้ถูกเรียกใช้เพื่อตอบสนองต่อกิจกรรม 'การบรรจุข้อมูลรับรอง' ซึ่งผู้กระทำผิดหรือผู้ไม่หวังดีพยายามเข้าถึงบัญชีผู้ใช้ (ในกรณีนี้คือ LastPass) โดยใช้ที่อยู่อีเมลและรหัสผ่านที่ได้รับจากบุคคลที่สาม การละเมิดของบุคคลที่เกี่ยวข้องกับบริการอื่น ๆ ที่ไม่เกี่ยวข้อง ”

“ เราดำเนินการอย่างรวดเร็วเพื่อตรวจสอบกิจกรรมนี้ และในขณะนี้ ยังไม่มีข้อบ่งชี้ว่าบัญชี LastPass ใด ๆ ถูกบุกรุกโดยบุคคลที่สามที่ไม่ได้รับอนุญาตอันเป็นผลมาจากความพยายามในการบรรจุข้อมูลรับรองเหล่านี้ และเราไม่พบข้อบ่งชี้ใด ๆ ว่าข้อมูลรับรอง LastPass ของผู้ใช้นั้นถูกมัลแวร์เก็บสะสมไว้ , ส่วนขยายเบราว์เซอร์หลอกลวง หรือแคมเปญฟิชชิ่ง ”

ก่อนหน้านั้น LastPass ได้รายงานช่องโหว่ด้านความปลอดภัยในส่วนเสริมของ Google Chrome แม้ว่าจะไม่ใช่การละเมิดจริง ๆ ก็ตาม ผู้ใช้อินเทอร์เน็ตหลายคนยังคงกังวลกับข่าวดังกล่าว

สำหรับตอนนี้สถานการณ์อยู่ภายใต้การควบคุมของบริษัท เราจะแจ้งให้คุณทราบเกี่ยวกับการพัฒนาเพิ่มเติม