25 अगस्त को प्रकाशित एडवाइजरी में, लास्टपास के सीईओ करीम टुब्बा ने कहा कि एक अनधिकृत पार्टी ने चोरी की थी। स्रोत कोड के अंश और कुछ स्वामित्व वाली LastPass तकनीकी जानकारी ।' हालांकि, किसी भी ग्राहक के पासवर्ड या खाते प्रभावित नहीं हुए।
पासवर्ड प्रबंधन फर्म कुछ हफ़्ते पहले 2022 के सबसे बड़े सुरक्षा उल्लंघनों में से एक में हैक हो गई थी। अंदरूनी सूत्रों ने कई समाचार आउटलेट्स को कुछ विवरणों का खुलासा किया, जिसमें कहा गया था कि कर्मचारी उल्लंघन के बाद हमले को रोकने के लिए हाथ-पांव मार रहे थे।
लास्टपास को दो हफ्ते पहले हैक कर लिया गया था; 25 अगस्त को जारी एडवाइजरी
एक हैकर ने दो हफ्ते पहले LastPass, GoTo (पहले LogMeIn, Inc) के स्वामित्व वाले पासवर्ड मैनेजर में घुसपैठ की थी। कंपनी की प्रारंभिक जांच से पता चलता है कि घुसपैठ केवल सॉफ्टवेयर विकास के लिए कंपनी के आंतरिक सिस्टम को जब्त करने में सक्षम थी।
सौभाग्य से, ग्राहक पासवर्ड और विवरण से संबंधित कोई डेटा प्रभावित नहीं हुआ। गुरुवार, 25 अगस्त, 2022 को, LastPass ने ग्राहकों को उल्लंघन के बारे में एक ईमेल भेजा।
' हमने निर्धारित किया है कि एक अनधिकृत पार्टी ने एकल समझौता किए गए डेवलपर खाते के माध्यम से लास्टपास विकास पर्यावरण के कुछ हिस्सों तक पहुंच प्राप्त की और स्रोत कोड और कुछ मालिकाना लास्टपास तकनीकी जानकारी के हिस्से ले लिए। , 'ईमेल में कहा गया है।
' हमारे पास इस बात का कोई सबूत नहीं है कि इस घटना में ग्राहक डेटा या एन्क्रिप्टेड पासवर्ड वॉल्ट तक कोई पहुंच शामिल है , “यह जोड़ा।
LastPass ने रोकथाम और शमन उपायों को नियोजित किया है
डेटा उल्लंघन के जवाब में, लास्टपास ने 'रोकथाम और शमन उपायों' को तैनात किया है। इसके अतिरिक्त, उन्होंने घुसपैठ की जांच के लिए एक प्रमुख साइबर सुरक्षा फर्म को भी काम पर रखा है। कंपनी ने एक पोस्ट भी किया है सामान्य प्रश्न यह पुष्टि करते हुए कि सभी लास्टपास उत्पाद और सेवाएं अबाधित हैं और सामान्य रूप से काम कर रही हैं।
लास्टपास ने कोई अन्य विवरण साझा नहीं किया है क्योंकि पासवर्ड मैनेजर फोरेंसिक जांच शुरू करता है। हालाँकि, प्रमुख चिंता यह है कि चोरी किए गए मालिकाना डेटा साइबर अपराधियों के लिए कंपनी के संचालन में कमजोरियों को उजागर करने का रास्ता बना सकते हैं।
अभी के लिए, कंपनी के अक्सर पूछे जाने वाले प्रश्न में कहा गया है कि लास्टपास 'मास्टर पासवर्ड' पर जानकारी संग्रहीत नहीं करता है जिसका उपयोग ग्राहक पासवर्ड प्रबंधन सेवाओं पर अपने खातों तक पहुंचने के लिए करते हैं।
इसके बजाय, कंपनी उपयोगकर्ता के खाते तक पहुंच को अनलॉक करने के लिए 'शून्य-ज्ञान एन्क्रिप्शन' तंत्र के साथ काम करती है। इसका मतलब यह है कि मास्टर पासवर्ड केवल ग्राहक के डिवाइस और उनकी मेमोरी पर संग्रहीत होता है।
लास्टपास डेटा ब्रीच से खुद को कैसे बचाएं?
चूंकि लास्टपास मास्टर पासवर्ड को कहीं भी स्टोर नहीं करता है और 'शून्य ज्ञान' मॉडल का उपयोग करता है, यदि आप लास्टपास उपयोगकर्ता हैं तो चिंता करने की कोई आवश्यकता नहीं है। हालाँकि, कंपनी अभी भी भविष्य में हैकिंग के किसी भी प्रयास या समझौता को रोकने के लिए चिंतित है।
पासवर्ड मैनेजर के एफएक्यू में यह भी कहा गया है, 'इस समय, हम अपने उपयोगकर्ताओं या प्रशासकों की ओर से किसी भी कार्रवाई की अनुशंसा नहीं करते हैं।' यदि आप अभी भी चिंतित हैं, तो आप अपना मास्टर पासवर्ड बदलने और इसे अपने डिवाइस पर संग्रहीत न करने जैसे कुछ सामान्य उपायों को लागू कर सकते हैं।
आपको अपना पासवर्ड बनाने के लिए अक्षरों और संख्याओं के मजबूत संयोजन का भी उपयोग करना चाहिए। यादृच्छिक श्रृंखला जैसे 12345678 या अपने नाम या स्थान जैसे सामान्य शब्दों का प्रयोग न करें। हार्ड-टू-क्रैक पासवर्ड का ऑनलाइन उपयोग करना इन दिनों बहुत जरूरी है।
अपना लास्टपास मास्टर पासवर्ड बदलें
आपके लास्टपास खाते का मास्टर पासवर्ड एक ऑल-इन-वन कुंजी है जो आपके खाते में सभी साइट पासवर्ड, सुरक्षित नोट्स, फॉर्म भरने वाले आइटम आदि सहित हर चीज तक पहुंच को अनलॉक करता है। अपना लास्टपास मास्टर पासवर्ड बदलने के लिए इन चरणों का पालन करें:
- एक वेब ब्राउज़र लॉन्च करें और जाएँ यह पन्ना .
- अब अपने ईमेल एड्रेस और मास्टर पासवर्ड से लॉग इन करें।
- इसके बाद, बाएं नेविगेशन से खाता सेटिंग चुनें।
- सामान्य टैब पर, 'मास्टर पासवर्ड बदलें' पर क्लिक करें।
- अब अपना वर्तमान मास्टर पासवर्ड दर्ज करें।
- इसके बाद, एक नया मास्टर पासवर्ड दर्ज करें और एक पासवर्ड संकेत दर्ज करें।
- अंत में, 'मास्टर पासवर्ड सहेजें' पर क्लिक करें।
मास्टर पासवर्ड रीसेट करने के बाद, इसे बॉलपॉइंट पेन का उपयोग करके कागज के एक टुकड़े पर लिखें और कागज को कहीं सुरक्षित रख दें। इसे बेतरतीब दराज में या अपने गद्दे के नीचे न फेंके। कागज की एक प्रति बनाने की भी सिफारिश की जाती है।
LastPass को भी पिछले साल क्रेडेंशियल स्टफिंग का सामना करना पड़ा था
लास्टपास को पिछले साल एक क्रेडेंशियल स्टफिंग अटैक का भी सामना करना पड़ा, जिसके परिणामस्वरूप मास्टर पासवर्ड तक अभिनेता की पहुंच खतरे में पड़ गई। कंपनी ने पुष्टि की कि हैकर्स द्वारा मास्टर पासवर्ड चुराए गए थे। घुसपैठियों ने सिस्टम पर रेडलाइन पासवर्ड-चोरी करने वाले मैलवेयर भी वितरित किए।
लास्टपास ने हमले के जवाब में निम्नलिखित बयान जारी किया, ' हमारे शुरुआती निष्कर्षों ने हमें यह विश्वास दिलाया कि ये अलर्ट 'क्रेडेंशियल स्टफिंग' गतिविधि के प्रयास के जवाब में ट्रिगर किए गए थे, जिसमें एक दुर्भावनापूर्ण या खराब अभिनेता तीसरे से प्राप्त ईमेल पते और पासवर्ड का उपयोग करके उपयोगकर्ता खातों (इस मामले में, लास्टपास) तक पहुंचने का प्रयास करता है- अन्य असंबद्ध सेवाओं से संबंधित पार्टी उल्लंघन ।'
' हमने इस गतिविधि की जांच करने के लिए जल्दी से काम किया और इस समय, इस बात का कोई संकेत नहीं है कि इन क्रेडेंशियल स्टफिंग प्रयासों के परिणामस्वरूप किसी अनधिकृत तृतीय पक्ष द्वारा किसी भी लास्टपास खाते से छेड़छाड़ की गई थी, और न ही हमें कोई संकेत मिला है कि उपयोगकर्ता के लास्टपास क्रेडेंशियल्स को मैलवेयर द्वारा काटा गया था। , दुष्ट ब्राउज़र एक्सटेंशन, या फ़िशिंग अभियान ।'
इससे पहले, LastPass ने Google Chrome के लिए अपने एक्सटेंशन में सुरक्षा भेद्यता की सूचना दी थी। हालांकि यह वास्तव में उल्लंघन नहीं था, लेकिन कई इंटरनेट उपयोगकर्ता इस खबर के कारण चिंतित थे।
फिलहाल स्थिति कंपनी के नियंत्रण में है। हम आपको आगे के घटनाक्रमों पर अपडेट रखेंगे।
