اگر از LastPass برای مدیریت رمزهای خود استفاده میکنید، باید بدانید که حتی اگر رمزهای شما در صندوقچه باشند، هویت شما اکنون برای مهاجمان قابل شناسایی است. این اتفاق یعنی امنیت شما دیگر یک مسئله فنی نیست، بلکه به یک ریسک اجتماعی تبدیل شده است. یک رخنه امنیتی در یک تأمینکننده شخص ثالث، جزئیات تماس مشتریان LastPass را به مخاطره انداخته است. گروه باجافزاری Icarus مسئولیت این حمله را پذیرفته و تهدید کرده است که در صورت عدم پرداخت باج، دادهها را منتشر خواهد کرد.
این حادثه در حالی رخ میدهد که LastPass برای بازپسگیری اعتبار امنیتی خود پس از چندین شکست جدی میجنگد. برای ابزاری که قرار است «سنگر نهایی» اعتماد دیجیتال باشد، نشتهای مکرر فشار روانی شدیدی به کاربر وارد میکند که گاهی از راحتی فنی سرویس بیشتر است. همانطور که در پوشش پیشین ما از امنیت مدلهای بازمتن و زیرساختهای ابری اشاره کردیم، نقاط ضعف در زنجیره تأمین اغلب از خودِ محصول خطرناکترند.
زمینه و بستر رخنه
компаنی LastPass برای مدیریت عملیات تجاری خود از چندین یکپارچگی خارجی (Integration) استفاده میکند. در این مورد خاص، آسیبپذیری در یک پلتفرم تحقیقات بازار شخص ثالث وجود داشت. این اتصال، پلی ایجاد کرد که مهاجمان برای رسیدن به دادههای داخلی CRM شرکت از آن سوءاستفاده کردند.
طبق گزارش یک پست وبلاگی در روز سهشنبه، این رخنه در Klue — یک پلتفرم تحقیقات بازار — رخ داده است. مهاجمان با سرقت توکنهای امنیتی OAuth (مثل کلیدهای دیجیتالی که اجازه میدهند دو نرمافزار بدون رمز عبور با هم حرف بزنند) توانستند به سیستمهای Salesforce و Gong شرکت LastPass نفوذ کنند. این روش سرقت اعتبارنامههای حساس، شباهت زیادی به رویکردهای پیچیده گروه Hudson Rock برای نفوذ به سیستمهای تجاری دارد که هدف آنها دسترسی به دادههای استراتژیک سازمانهاست. به نقل از مستندات شرکت، این راه ورود باعث دسترسی هکرها به دادههای مدیریت ارتباط با مشتری (CRM) شد که در Salesforce ذخیره شده بود.
جزئیات حادثه
این رخنه منجر به افشای طیف متنوعی از دادههای حساس مربوط به هویت و حسابهای کاربری شد. بر اساس جزئیات منتشر شده، موارد زیر به سرقت رفته است:
- نام مشتریان، آدرسهای ایمیل و شماره تلفنها
- آدرسهای فیزیکی
- جزئیات مربوط به فروش و تاریخچه پروندههای پشتیبانی
در مقابل، موارد زیر ایمن ماندهاند:
- رمزهای عبور اصلی (Master Passwords) لو نرفتهاند
- هیچ خزانه رمز عبوری مورد دسترسی قرار نگرفته است
LastPass در پاسخ به این بحران، دسترسی تمامی کارکنان به Klue را قطع کرد، توکنهای لو رفته را بازنشانی نمود و تحقیقاتی را با همکاری پلیس و Salesforce آغاز کرد. آنها همچنین در حال اشتراکگذاری اطلاعات با جامعه امنیت سایبری هستند تا کمپین گروه Icarus را مختل کنند.
نکته تلخ این است که LastPass تنها قربانی نبود. شرکتهای دیگری که تحت تأثیر رخنه Klue قرار گرفتند شامل Snyk، HackerOne، Recorded Future، Tanium، Gong، Jamf، Insurity، OneTrust و Sprout Social هستند. طبق اعلام Klue، این رخنه اولین بار در ۱۲ ژوئن شناسایی شده بود. پس از این کشف، Klue با همکاری متخصصان تلاش کرد تا اتصالات آسیبدیده را بازیابی و ترمیم کند.
الگوی تکرار شونده شکستها
این اتفاق، ادامه زنجیرهای از سوابق دشوار برای این شرکت است:
- در سال ۲۰۲۲: هکرها از طریق یک حساب لو رفته، دادههای فنی اختصاصی و کد منبع (Source Code) را دزدیدند. سپس در همان سال، این اتفاق منجر به حمله دوم شد که در آن نام مشتریان، آدرسهای صورتحساب، ایمیلها، شماره تلفنها و IPها به دست آمد. این نوع حملات هدفمند برای سرقت اسرار فنی، بسیار شبیه به بدافزارهای سرقت رمز عبوری است که اخیراً باعث تعطیلی دهها پروژه در گیتهاب مایکروسافت شد.
- در سال ۲۰۲۰: یک قطعی گسترده باعث شد کاربران برای چندین روز نتوانند به حسابهای خود وارد شوند.
- در سال ۲۰۱۹: محققان باگی امنیتی پیدا کردند که اعتبارنامههای ورود وارد شده در سایتهایی که قبلاً بازدید شده بود را افشا میکرد.
به باور تحلیلگران، این وضعیت محیطی ایدهآل برای حملات فیشینگ (Phishing) و مهندسی اجتماعی است. چون مهاجمان حالا تاریخچه واقعی پشتیبانی شما را دارند، میتوانند با جزئیاتی دقیق و شخصیسازی شده شما را فریب دهند تا اطلاعات حساستری را برملا کنید. در واقع، وقتی اطلاعات هویتی شما در دست مهاجم است، آنها میتوانند کلاهبرداریهای خود را با جزئیات واقعی زندگی شما طراحی کنند.
گام بعدی شما
اگر از این سرویس استفاده میکنید، باید اقدامات زیر را انجام دهید:
- ایمیلهای رسمی LastPass را برای اعلانهای مربوط به نشت داده بررسی کنید.
- هرگونه پیامک یا تماس غیرمنتظره که اطلاعات حساس میخواهد را با شک بررسی کنید، زیرا مهاجمان اکنون میتوانند کلاهبرداریها را بر اساس تاریخچه پشتیبانی واقعی شما شخصیسازی کنند.
- برای احتیاط، رمز عبور اصلی خود را به یک عبارتگذر (Passphrase) قوی تغییر دهید.
- یا اگر این اتفاق نقطه پایان اعتماد شماست، به جایگزینهایی با سوابق پاکتر مثل 1Password، Bitwarden یا NordPass مهاجرت کنید.
چه در این سرویس بمانید و چه آن را ترک کنید، درس این حادثه روشن است: امنیت دادههای شما تنها به اندازه ضعیفترین یکپارچگی شخص ثالث در زنجیره تأمین ارائهدهنده شماست.
اما داستان سختافزاری این تحول حتی شگفتانگیزتر است — به تحلیل ما دربارهی تراشههای Blackwell مراجعه کنید.
گفتگو