LastPass का कहना है कि हैकर्स के पास ग्राहक डेटा की एक प्रति है, फ़िशिंग हमलों की चेतावनी देता है

लास्ट पास पासवर्ड प्रबंधक जो अपने ग्राहकों को ऑनलाइन पासवर्ड के पुन: उपयोग को कम करने में सक्षम बनाता है, उन्हें एक ऐप में संग्रहीत करके, हैकर्स ने कहा है कि हैकर्स के पास नाम, ईमेल पते, बिलिंग पते और टेलीफोन नंबर सहित उपभोक्ता डेटा की एक प्रति है। कंपनी के सीईओ का यह भी कहना है कि डेटा एन्क्रिप्ट किया गया है और धमकी देने वाला अभिनेता डेटा की प्रतियों को डिक्रिप्ट करने का प्रयास कर सकता है और ऐसा कर सकता है फ़िशिंग हमले.
लास्टपास सीईओ करीम तौबा का कहना है कि उन्होंने एक जांच में पाया कि एक अज्ञात थ्रेट एक्टर ने 2022 के अगस्त में क्लाउड-आधारित स्टोरेज वातावरण तक पहुंच बनाई थी। उस समय, कंपनी ने कहा कि कोई ग्राहक डेटा एक्सेस नहीं किया गया था, हालांकि, हैकर्स ने कुछ स्रोत कोड और तकनीकी जानकारी चुरा ली थी जो दूसरे कर्मचारी को निशाना बनाता था।
हैकर्स ने तब कुछ क्रेडेंशियल और कुंजियाँ प्राप्त कीं जिनका उपयोग “क्लाउड-आधारित स्टोरेज सेवा के भीतर कुछ स्टोरेज वॉल्यूम तक पहुँचने और डिक्रिप्ट करने के लिए किया गया था।”

कौन सा डेटा कॉपी किया गया है?
क्लाउड स्टोरेज एक्सेस कुंजी और दोहरे स्टोरेज कंटेनर डिक्रिप्शन कुंजियों की मदद से, “खतरे वाले अभिनेता ने एक बैकअप से जानकारी की नकल की जिसमें बुनियादी ग्राहक खाता जानकारी और कंपनी के नाम, अंतिम-उपयोगकर्ता नाम, बिलिंग पते, ईमेल पते, टेलीफोन सहित संबंधित मेटाडेटा शामिल थे। नंबर, और आईपी पते जिससे ग्राहक लास्टपास सेवा का उपयोग कर रहे थे,” सीईओ ने एक ब्लॉग पोस्ट में कहा।
“खतरा अभिनेता एन्क्रिप्टेड स्टोरेज कंटेनर से ग्राहक वॉल्ट डेटा का बैकअप कॉपी करने में भी सक्षम था जो मालिकाना बाइनरी प्रारूप में संग्रहीत होता है जिसमें अनएन्क्रिप्टेड डेटा, जैसे वेबसाइट यूआरएल, साथ ही पूरी तरह से एन्क्रिप्टेड संवेदनशील फ़ील्ड जैसे वेबसाइट शामिल हैं। उपयोगकर्ता नाम और पासवर्ड, सुरक्षित नोट और फॉर्म भरा डेटा,” तौबा कहा।
लास्टपास के अनुसार, एन्क्रिप्टेड डेटा 256-बिट एईएस एन्क्रिप्शन के साथ सुरक्षित है और इसे केवल प्रत्येक उपयोगकर्ता के मास्टर पासवर्ड से प्राप्त एक अद्वितीय एन्क्रिप्शन कुंजी के साथ डिक्रिप्ट किया जा सकता है।

फ़िशिंग हमले का खतरा
लास्टपास ने यह भी चेतावनी दी है कि वॉल्ट डेटा की एन्क्रिप्टेड प्रतियों तक पहुंच प्राप्त करने के लिए, हैकर्स मास्टर पासवर्ड का अनुमान लगाने के लिए “क्रूर बल” का उपयोग करने का प्रयास कर सकते हैं। टूबा कहते हैं, “खतरा अभिनेता फ़िशिंग हमलों, क्रेडेंशियल स्टफिंग या आपके लास्टपास वॉल्ट से जुड़े ऑनलाइन खातों के खिलाफ अन्य क्रूर बल के हमलों के साथ ग्राहकों को लक्षित कर सकता है।”
लास्टपास में यह भी उल्लेख किया गया है कि उन्हें कोई सबूत नहीं मिला है कि कोई भी अनएन्क्रिप्टेड क्रेडिट कार्ड डेटा एक्सेस किया गया था।