اختراق موقع إدارة كلمات المرور "لاست باس".. هذا ما عليك فعله

نشرت صحيفة "نيويورك تايمز" الأمريكية، مقالا للصحفي بريان تشين قال فيه؛ إنه بينما كان الكثير منا يقطع الاتصال بالإنترنت لقضاء بعض الوقت مع الأحباء خلال العطلات، فإن موقع "لاست باس"، صانع برنامج الأمان الشهير لإدارة كلمات المرور الرقمية، قدّم أكثر الهدايا غير المرغوب فيها. خرق أمني حديث حصل فيه مجرمو الإنترنت على نسخ من قوائم كلمات مرور العملاء، مما قد يؤدي إلى كشف معلومات الملايين من الأشخاص.

وعندما تستخدم برنامج إدارة كلمات مرور مثل "لاست باس"، فإنه يخزن معلوماتك في قائمة تحتوي على أسماء المستخدمين وكلمات المرور الخاصة بالمواقع والتطبيقات التي تستخدمها، بما في ذلك الحسابات المصرفية والرعاية الصحية والبريد الإلكتروني والشبكات الاجتماعية. وقالت شركة "لاست باس"؛ إن القراصنة سرقوا نسخا من قائمة الأسماء وكلمات المرور لكل العملاء من خوادم الشركة.

كان هذا الخرق أحد أسوأ الأشياء التي يمكن أن تحدث لمنتج أمان مصمم للعناية بكلمات المرور الخاصة بك. ولكن بخلاف الخطوة التالية الواضحة - لتغيير جميع كلمات المرور الخاصة بك، إذا كنت تستخدم لاست باس - هناك دروس مهمة يمكننا تعلمها من هذه الكارثة، بما في ذلك أن منتجات الأمان ليست مضمونة، خاصة عندما تقوم بتخزين بياناتنا الحساسة سحابيا.

إظهار أخبار متعلقة

أولا، من المهم فهم ما حدث: قالت الشركة؛ إن القراصنة تمكنوا من الوصول إلى قاعدة البيانات السحابية الخاصة بها، وحصلوا على نسخة من قواعد البيانات لعشرات الملايين من العملاء، باستخدام بيانات الاعتماد المسروقة من أحد موظفي "لاست باس".

وحاولت "لاست باس"، التي نشرت تفاصيل الاختراق في مدونة يوم 22 كانون الأول/ ديسمبر الماضي، طمأنة مستخدميها بأن معلوماتهم ربما كانت آمنة. وقالت؛ إن بعض البيانات مثل عناوين مواقع الويب التي قاموا بتسجيل الدخول إليها كانت غير مشفرة، ولكن تم تشفير البيانات الحساسة، بما في ذلك أسماء المستخدمين وكلمات المرور.

قد يشير هذا إلى أن المتسللين يمكنهم معرفة موقع الويب المصرفي الذي استخدمه شخص ما، ولكن ليس لديهم اسم المستخدم وكلمة المرور المطلوبين لتسجيل الدخول إلى حساب هذا الشخص.

الأهم من ذلك، تم أيضا تشفير كلمات المرور الرئيسية التي أنشأها المستخدمون لفتح حساب "لاست باس" الخاص بهم. وهذا يعني أن المتسللين سيضطرون بعد ذلك إلى كسر كلمات المرور الرئيسية المشفرة للحصول على بقية كلمات المرور، وهو أمر يصعب القيام به طالما أن الأشخاص يستخدمون كلمة مرور رئيسية فريدة ومعقدة.

كريم طوبا، الرئيس التنفيذي لشركة "لاست باس"، رفض إجراء مقابلة، لكنه كتب في بيان عبر البريد الإلكتروني أن الحادث أظهر قوة بنية نظام الشركة، التي قال إنها تحافظ على تشفير وتأمين البيانات الحساسة.

إظهار أخبار متعلقة

واختلف العديد من خبراء الأمن مع الفكرة المتفائلة لطوبا وقالوا؛ إن على كل مستخدم "لاست باس" تغيير كل كلمات المرور الخاصة به.

قال سنان إرين، المسؤول التنفيذي في شركة باراكودا للأمن؛ "إنه أمر خطير للغاية.. سأعتبر كل كلمات المرور المُدارة هذه مخترقة."

قال كيسي إليس، كبير مسؤولي التكنولوجيا في شركة الأمن  باغكراود؛ إنه من الخطير أن يتمكن المتسللون من الوصول إلى قوائم عناوين مواقع الويب التي يستخدمها الأشخاص.

تابع إليس: "دعنا نقول إنني سأطاردك. يمكنني إلقاء نظرة على جميع مواقع الويب التي قمت بحفظ المعلومات الخاصة بها واستخدام ذلك للتخطيط لهجوم. معلومات كل مستخدم على لاست باس الآن في أيدي الخصم".

وفيما يلي الدروس التي يمكن أن نتعلمها جميعا من هذا الاختراق للبقاء أكثر أمانا على الإنترنت.

الوقاية خير من العلاج

تُعد قرصنة "لاست باس" بمنزلة تذكير بأنه من الأسهل إعداد ضمانات لحساباتنا الأكثر حساسية قبل حدوث الخرق، بدلا من محاولة حماية أنفسنا بعد ذلك. وفيما يلي بعض أفضل الممارسات التي يجب أن نتبعها جميعا لكلمات المرور الخاصة بنا. وأي مستخدم  لبرنامج "لاست باس" قد اتخذ هذه الخطوات مسبقا، سيكون آمنا نسبيا خلال هذا الخرق الأخير.

• إنشاء كلمة مرور معقدة وفريدة من نوعها لكل حساب. يجب أن تكون كلمة المرور القوية طويلة وصعبة على أي شخص تخمينها.

• بالنسبة لأولئك الذين يستخدمون برنامج إدارة كلمات المرور، تعد هذه القاعدة العامة ذات أهمية قصوى بالنسبة إلى كلمة المرور الرئيسية لفتح الخزنة الخاصة بك. لا تقم أبدا بإعادة استخدام كلمة المرور هذه لأي تطبيق أو موقع آخر.

• بالنسبة إلى حساباتك الأكثر حساسية، أضف طبقة أمان إضافية باستخدام التحقق المزدوج.

• تتيح لك معظم المواقع المصرفية إعداد رقم هاتفك المحمول أو عنوان بريدك الإلكتروني لتلقي رسالة تحتوي على رمز مؤقت لتسجيل الدخول.

ولكن، يجب أن نُذكر أن هذا ليس خطأك؛ فعندما يتم اختراق خوادم أي شركة وسرقة بيانات العملاء، فإن ذلك يقع على عاتق الشركة لفشلها في حمايتك.

يُلقي رد فعل "لاست باس" العام للحادث المسؤولية على المستخدم، لكن لا يجب علينا قبول ذلك. على الرغم من أنه من الصحيح أن ممارسة "حفظ كلمة المرور بشكل جيد"، كان من الممكن أن يساعد في الحفاظ على الحساب أكثر أمانا في حالة الاختراق، إلا أن ذلك لا يعفي الشركة من المسؤولية.

هناك مخاطر للتخزين السحابي

على الرغم من أن اختراق موقع "لاست باس" قد يكون أمرا مروعا، إلا أن برامج إدارة كلمات المرور بشكل عام أداة مفيدة؛ لأنها تجعل إنشاء وتخزين كلمات مرور معقدة وفريدة من نوعها لحساباتنا على الإنترنت أكثر سهولة.

غالبا ما ينطوي أمان الإنترنت على موازنة الملاءمة مقابل المخاطر. قال إليس من باغكراود؛ إن التحدي الذي يواجه أمان كلمة المرور، هو أنه كلما كانت أفضل الممارسات معقدة للغاية، فإن الأشخاص سينكصون إلى كل ما هو أسهل - على سبيل المثال، باستخدام كلمات مرور يسهل تخمينها وتكرارها عبر مواقع مختلفة.

إظهار أخبار متعلقة

لذلك لا تلغي استخدام برامج إدارة كلمات المرور. لكن تذكر أن اختراق "لاست باس" يوضح أنك تخاطر دائما عند تكليف شركة بتخزين بياناتك الحساسة في السحابة الخاصة بها، بقدر ما هو ملائم للوصول إلى خزنة كلمة المرور الخاصة بك على أي من أجهزتك.

يوصي إرين من "باراكودا" بعدم استخدام برامج إدارة كلمات المرور التي تقوم بتخزين قاعدة البيانات على السحابة الخاصة بهم، وبدلا من ذلك اختيار واحد يخزن مخزن كلمات المرور على أجهزتك الخاصة، مثل "كي باس".

إبقاء استراتيجية خروج

يقودنا ذلك إلى نصيحة أخيرة، يمكن تطبيقها على أي خدمة عبر الإنترنت: ضع دائما خطة لسحب بياناتك - في هذه الحالة، خزن كلمات المرور الخاصة بك - في حال حدوث شيء ما يجعلك ترغب في المغادرة.

بالنسبة لموقع "لاست باس"، تسرد الشركة الخطوات على موقعها على الويب لتصدير نسخة من مخزنك إلى جدول بيانات. ثم يمكنك استيراد قائمة كلمات المرور هذه إلى برنامج إدارة كلمات مرور مختلف. أو يمكنك الاحتفاظ بملف جدول البيانات لنفسك، وتخزينه في مكان آمن ومريح للاستخدام.