LastPass هو اسم معروف وموثوق به في مجال أمان كلمات المرور، ولكن تاريخه الحافل بالانتهاكات قد يجعلك تفكر في بديل.

الماخذ الرئيسية

  • شهد LastPass العديد من خروقات البيانات في الماضي، بما في ذلك واحدة في عام 2015 كشفت عن رسائل البريد الإلكتروني وكلمات المرور الرئيسية للمستخدم. ومع ذلك، فإن غالبية المستخدمين الذين استخدموا طبقات أمنية إضافية كانوا على الأرجح في مأمن من الاختراق.
  • واجه LastPass انتقادات في عام 2021 عندما تم اكتشاف أن تطبيق Android الخاص به يحتوي على أدوات تتبع تابعة لجهات خارجية، مما أثار مخاوف بشأن الأمان. رد LastPass بالقول إنه تم استخدام أدوات التتبع للقياس عن بعد للتطبيق ويمكن للمستخدمين تعطيلها.
  • شهد LastPass اختراقًا كبيرًا في عام 2022، حيث تمكن المهاجمون من الوصول إلى بيانات العميل ومعلومات مخزن المستخدم. أدى هذا الاختراق إلى عواقب أخرى على LastPass والشركة الأم GoTo، بما في ذلك النسخ الاحتياطية المشفرة المسروقة والأدلة على مفتاح التشفير الذي تم الوصول إليه.
  • بشكل عام، على الرغم من أن LastPass يعتبر آمنًا بشكل عام، إلا أن الخروقات والحوادث الأمنية المتعددة دفعت بعض المستخدمين إلى البحث عن مديري كلمات مرور بديلين لم يتم اختراقهم.
instagram viewer

يستخدم الكثير منا برامج إدارة كلمات المرور للحفاظ على أمان بياناتنا الخاصة، ويعتبر LastPass أحد الخيارات الأكثر شيوعًا. لكن LastPass عانى من نصيبه العادل من خروقات البيانات، مما يعرض المعلومات الحساسة للعملاء للخطر.

إذًا، كم مرة تم اختراق LastPass، وهل لا يزال استخدامه آمنًا؟

1. اختراق LastPass 2015

حقوق الصورة: إرفينس ستراهمانيس/فليكر

حدث اختراق LastPass الأول في يونيو 2015، بعد سبع سنوات من تأسيس الشركة. كشف هذا الاختراق الخطير عن رسائل البريد الإلكتروني وكلمات المرور الرئيسية لمستخدمي LastPass، بالإضافة إلى كلمات التلميح أو التذكير المستخدمة لتذكر كلمات المرور الرئيسية. تمت ملاحظة الاختراق عندما اكتشف LastPass نشاطًا مشبوهًا على الشبكة، والذي تم حظره قريبًا. ومع ذلك، فقد حدثت بالفعل بعض الأضرار.

في مذكرة منتهية الصلاحية الآن للعملاء (متوفر عبر أرشيف الإنترنت)، أبلغ LastPass المستخدمين أن أولئك الذين استخدموا طبقات أمان إضافية مثل التجزئة والتمليح على كلمات المرور الخاصة بهم من المحتمل أن يكونوا في مأمن من الاختراق. ولحسن الحظ، يستخدم غالبية مستخدمي LastPass هذه الأساليب الأمنية، مما يعني أن نسبة صغيرة فقط من العملاء لديهم فرصة للتأثر.

ذكرت LastPass أيضًا أنها لا تعتقد أنه تم الوصول إلى أي حسابات مستخدمين بسبب الهجوم ولكنها حثت على ذلك للمستخدمين التحقق من عناوين بريدهم الإلكتروني وتجديدها في أي أسبوع أو استخدام كلمات المرور الرئيسية بشكل متكرر لتعزيزها حماية.

وبعد أسابيع قليلة من الاختراق، نشر LastPass تدوينة مشيرة إلى أن أمانها قد تحسن منذ الاختراق، مع إجراء مجموعة من التغييرات الصغيرة والكبيرة لحماية العملاء بشكل أكبر. وشملت هذه التغييرات إدخال وحدات أمان الأجهزة (HSMs)، التي تحمي البنية التحتية للتشفير الخاص بـ LastPass.

2. حادثة التتبع LastPass 2021

على الرغم من عدم اختراق LastPass في عام 2021، إلا أنه واجه مشكلات عندما تبين أن تطبيق Android الخاص به يحتوي على أدوات تتبع تابعة لجهات خارجية. وفي فبراير 2021، كشف تطبيق تحليل أمني يُدعى Exodus Privacy أنه عثر على سبعة متتبعين في تطبيق LastPass Android، مما أثار الشكوك بين المستخدمين. علق الباحث الأمني ​​مايك كوكيتز على هذا الاكتشاف في ملف منشور مدونة Kuketz لأمن تكنولوجيا المعلومات، مشيرًا إلى أنه "من غير الوارد تمامًا دمج [الإعلانات وأجهزة التتبع] في تطبيقات إدارة كلمات المرور."

قام Kuketz أيضًا بإدراج أدوات التتبع السبعة الموجودة في تطبيق LastPass Android، والتي تضمنت أدوات التتبع من Google Analytics وSegment وAppsFlyer. وقد أدان كوكيتز منح الوصول إلى منصات تحليلات التسويق بهذه الطريقة، وكتب أن نهج LastPass "مشكوك فيه للغاية من حيث الأمان".

وأكد Kuketz أن تطبيق LastPass Android يحتاج إلى التحقق يدويًا لمعرفة ما إذا كان المتتبعون يراقبون المستخدمين بشكل نشط. ومع ذلك، أشار Kuketz إلى أن وجود أدوات التتبع وحدها يمثل ممارسة سيئة بالنسبة لتطبيق يحتاج إلى إعطاء الأولوية للأمان.

ورداً على هذه الانتقادات، أبلغ LastPass المستخدمين أنها تستخدم أدوات التحليلات. وأكد LastPass أن هذا تم للحصول على رؤى حول "بيانات القياس عن بعد للتطبيق، وبيانات الإبلاغ عن الأخطاء والأعطال، بالإضافة إلى معلومات إحصائية عالية المستوى للاستخدام في نهاية المطاف لتحسين الأداء العام والموثوقية وسهولة الاستخدام لـ [ برنامج]."

وذكر أيضًا أن عنصر التحليلات في تطبيق LastPass كان ميزة اختيارية يمكن للمستخدمين تعطيلها في إعداداتهم المتقدمة. لكن بغض النظر عن ذلك، فإن وجود أدوات التتبع في تطبيق LastPass Android ترك طعمًا سيئًا في أفواه المحللين الأمنيين والمستخدمين.

3. خروقات LastPass 2022

استغرق الأمر بعض الوقت حتى يتعرض LastPass لهجوم إلكتروني آخر بعد الحادث الأولي الذي وقع في عام 2015. لكن في عام 2022، وقع هجوم آخر بالفعل. لقد كان هذا عامًا صعبًا بشكل خاص بالنسبة لـ LastPass، حيث تسبب الاختراق الأولي في أغسطس في حدوث موجات صدمة ستستمر حتى عام 2023.

في أوائل أغسطس 2022، أصبح LastPass على علم بالاختراق حيث قام أحد المتسللين باختراق الكمبيوتر المحمول الخاص بمطور LastPass لسرقة كود المصدر والوصول إلى منصة التطوير السحابية للشركة. تجاوز المتسلل أمان المصادقة متعددة العوامل في حساب المهندس من خلال مصادقة نفسه كمستخدم بنجاح. وعلى الرغم من أن هذا كان حادثًا مقلقًا للغاية، إلا أن المتسلل لم يسترد أي معلومات عن العميل.

ولكن بعد بضعة أشهر، أصبحت الأمور أسوأ. في ديسمبر 2022، أعلن LastPass أن اختراق أغسطس قد منح المهاجمين طريقًا إلى مناطق أكثر حساسية في بنيته التحتية، والتي تم استغلالها لأول مرة في نوفمبر. هذا الوقت، تمكن المتسللون من الوصول إلى بيانات عملاء LastPass، بما في ذلك عناوين البريد الإلكتروني وعناوين IP وأرقام الهواتف والأسماء. علاوة على ذلك، تم الكشف عن أنواع معينة من بيانات قبو المستخدم، بما في ذلك أسماء المستخدمين وكلمات المرور المخزنة للحسابات عبر الإنترنت.

وغني عن القول أن LastPass كان الآن في وضع صعب للغاية، ولن تتوقف الأمور في عام 2023.

آثار 2023

على الرغم من أن عام 2023 لم يجلب أي اختراقات جديدة لبرنامج LastPass، إلا أنه جلب المزيد والمزيد من المعلومات المثيرة للقلق حول ثغرات عام 2022.

في يناير 2023، أصدرت شركة GoTo، الشركة الأم لـ LastPass، بيانًا حول عواقب اختراقات 2022. بيان GoTo وأوضح أن العديد من خدمات الشركة الأخرى، بما في ذلك Central وHamachi وPro وjoin.me وRemotelyAnywhere، تم استهدافها أيضًا من قبل المهاجمين عبر جهاز تخزين سحابي تابع لجهة خارجية. ومن هذا الجهاز، سرق المهاجمون نسخًا احتياطية مشفرة. علاوة على ذلك، كشفت GoTo أنها عثرت على أدلة تشير إلى أنه تم الوصول أيضًا إلى مفتاح تشفير لبعض النسخ الاحتياطية المسروقة.

في فبراير 2023، وجد LastPass نفسه في عناوين الأخبار مرة أخرى عندما تم الكشف عن أنه بين الاختراق الأول والثاني لعام 2022، تم اتخاذ المزيد من الإجراءات الضارة من قبل المهاجمين.

كما هو موثق في منشور X أعلاه، قراصنة نوفمبر 2022 اختراق جهاز كمبيوتر منزلي لأحد كبار مطوري LastPass عبر ثغرة أمنية في الوسائط البرمجية. بعد اختراق جهاز الكمبيوتر، قام المتسللون بتثبيت برنامج Keylogger، مما مكنهم من رؤية ما كان المطور يكتبه على لوحة المفاتيح الخاصة بهم.

وقد أتاح هذا للمهاجمين إمكانية الوصول إلى كلمة المرور الرئيسية لخزنة شركة LastPass الخاصة بالمطور، مما يسمح للمهاجمين بالوصول إلى المخزن نفسه. الأمر الصادم هنا هو أن أربعة فقط من كبار مطوري LastPass تمكنوا من الوصول إلى خزينة الشركة، وما زال المهاجمون قادرين على استهداف أحد هؤلاء المطورين بنجاح.

استخدم المتسللون أيضًا بيانات اعتماد المستخدم المسروقة في عام 2022 لسرقة 4.4 مليون دولار من العملات المشفرة في أكتوبر 2023. يُعتقد أن المهاجمين وصلوا إلى العبارات والمفاتيح الأولية لمحفظة العملات المشفرة في الاختراق الثاني لعام 2022، مما سمح لهم باختراق المحافظ وسحب العملات المشفرة إلى العنوان المطلوب.

يحتوي LastPass على القائمة الكاملة للبيانات التي تم الوصول إليها في اختراقات 2022 إذا كنت ترغب في رؤية كل ما تم الكشف عنه بسبب أحداث 2022.

هل لا يزال LastPass آمنًا للاستخدام؟

على الرغم من أن LastPass موجود في الخدمة منذ عام 2008، إلا أن معظم خروقات البيانات والحوادث الأمنية حدثت في عشرينيات القرن الحالي. نظرًا لتعدد المشكلات الأمنية السابقة، فمن الطبيعي أن تشعر ببعض التوتر بشأن استخدام LastPass، فما الحكم هنا؟ هل LastPass آمن للاستخدام أم يجب عليك اختيار شيء آخر؟

على الرغم من أن استخدام LastPass أكثر أمانًا من تطبيق الملاحظات البسيط أو خيار التخزين المماثل، إلا أنه قد يكون هناك برامج إدارة كلمات مرور أفضل اليوم. مع وجود العديد من العيوب في سجل الأمان الخاص به، أصبح LastPass محظورًا بالنسبة للكثيرين، حيث لا يوجد معرفة متى سيحدث خرق آخر. نظرًا لأن عام 2022 تسبب في العديد من المشكلات لـ LastPass ومستخدميه، فليس من المستغرب أن يقفز بعض المستخدمين من السفينة، ويختارون مديري كلمات المرور الذين لم يتم اختراقهم بعد.

يعد Dashlane وNordPass مجرد مثالين لمديري كلمات المرور ذوي السمعة الطيبة والذين لم يتعرضوا مطلقًا لانتهاك أمني، لذلك من الممكن بالتأكيد العثور على مدير كلمات مرور لم تتعرض له بيانات العملاء أو بوابات الموظفين المتسللين.

إذا كنت تستخدم LastPass حاليًا ولكنك تريد التوجه إلى مكان آخر، فاطلع على دليلنا حول حذف حساب LastPass الخاص بك. لدينا أيضًا دليل مفيد حول مديري كلمات المرور الأكثر أمانا إذا كنت بحاجة إلى مساعدة في اختيار بديل.

ومع ذلك، فإن الحوادث الأمنية التي يتعرض لها LastPass لا تجعل منه مدير كلمات مرور غير آمن. لا يزال التطبيق يحتوي على العديد من الميزات المفيدة لحماية بيانات الاعتماد الحساسة وهو سهل الاستخدام بغض النظر عن الخبرة التقنية.

LastPass ليس ملك إدارة كلمات المرور

لا يوجد خطأ بطبيعته في استخدام LastPass لتخزين كلمات المرور، حيث أن التطبيق آمن تمامًا بشكل عام. ومع ذلك، تجدر الإشارة إلى البدائل فائقة الأمان المتوفرة إذا كنت تريد التأكد من تخزين معلوماتك الحساسة بأكبر قدر ممكن من الفعالية.