LastPass کا کہنا ہے کہ ایک دھمکی آمیز اداکار ملازم کے پرسنل کمپیوٹر کو ہیک کرکے اور keylogger میلویئر انسٹال کرکے کارپوریٹ اور کسٹمر کا ڈیٹا چوری کرنے میں کامیاب ہوگیا، جس سے وہ کمپنی کے کلاؤڈ اسٹوریج تک رسائی حاصل کرسکے۔ اپ ڈیٹ اس بارے میں مزید معلومات فراہم کرتا ہے کہ ہیکس کا سلسلہ پچھلے سال کیسے ہوا جس کے نتیجے میں مقبول پاس ورڈ مینیجر کا سورس کوڈ اور کسٹمر والٹ ڈیٹا کسی غیر مجاز تیسرے فریق کے ذریعے چوری ہو گیا۔
گزشتہ اگست میں، LastPass نے اپنے صارفین کو ایک \”سیکورٹی واقعہ\” جس میں ایک غیر مجاز تیسرے فریق نے پاس ورڈ مینیجر کے سورس کوڈ اور \”کچھ ملکیتی LastPass تکنیکی معلومات\” تک رسائی کے لیے سمجھوتہ کرنے والے ڈویلپر اکاؤنٹ کا استعمال کیا۔ کمپنی بعد میں نومبر میں سیکیورٹی کی دوسری خلاف ورزی کا انکشاف کیا۔یہ اعلان کرتے ہوئے کہ ہیکرز نے پاس ورڈ مینیجر کے ذریعے استعمال ہونے والی تھرڈ پارٹی کلاؤڈ اسٹوریج سروس تک رسائی حاصل کی تھی اور وہ \”کسٹمر کی معلومات\” کے \”کچھ عناصر تک رسائی حاصل کرنے\” کے قابل تھے۔
22 دسمبر کو, LastPass نے انکشاف کیا کہ ہیکرز نے نومبر میں ہونے والے دوسرے واقعے کے دوران اس کے سسٹمز تک رسائی کے لیے اگست میں پہلی خلاف ورزی کی معلومات کا استعمال کیا تھا اور یہ کہ حملہ آور جزوی طور پر خفیہ کردہ کسٹمر والٹ ڈیٹا کے بیک اپ کو کاپی کرنے کے قابل تھا جس میں ویب سائٹ کے یو آر ایل، صارف نام اور پاس ورڈ شامل تھے۔ LastPass نے پھر اپنے صارفین کو مشورہ دیا کہ وہ اپنے تمام ذخیرہ شدہ پاس ورڈز کو \”ایک اضافی حفاظتی اقدام\” کے طور پر تبدیل کر دیں، اس کے باوجود کہ پاس ورڈز اکاؤنٹ کے ماسٹر پاس ورڈ سے محفوظ ہیں۔
اب، LastPass نے انکشاف کیا ہے کہ دونوں حفاظتی خلاف ورزیوں کا ذمہ دار دھمکی آمیز اداکار 12 اگست اور 26 اکتوبر کے درمیان \”سرگرمی، گنتی، اور اخراج کی سرگرمیوں کی ایک نئی سیریز میں سرگرم عمل تھا۔\” اس وقت کے دوران، حملہ آور نے مشترکہ کلاؤڈ اسٹوریج تک رسائی حاصل کرنے کے لیے ایک سینئر DevOps انجینئر سے درست اسناد چرا لیں جس میں Amazon S3 بکٹس میں اسٹور کردہ کسٹمر والٹ بیک اپس کے لیے انکرپشن کیز شامل ہیں۔ ان چوری شدہ اسناد کے استعمال سے جائز اور مشکوک سرگرمی میں فرق کرنا مشکل ہو گیا۔
یہ شبہ ہے کہ ہیکر نے مشین پر نصب Plex میڈیا سافٹ ویئر کے ذریعے نجی کمپیوٹر تک رسائی حاصل کی۔
صرف چار DevOps انجینئرز کو کلاؤڈ اسٹوریج سروس تک رسائی کے لیے درکار ڈکرپشن کیز تک رسائی حاصل تھی۔ انجینئرز میں سے ایک کو ان کے گھر کے کمپیوٹر پر ایک (غیر ظاہر شدہ) کمزور تھرڈ پارٹی میڈیا سافٹ ویئر پیکج کا استحصال کرکے اور کیلاگر میلویئر انسٹال کرکے نشانہ بنایا گیا۔ آرس ٹیکنیکا رپورٹس کہ کمپیوٹر کو ممکنہ طور پر Plex میڈیا پلیٹ فارم کے ذریعے ہیک کیا گیا تھا۔ اسی طرح ڈیٹا کی خلاف ورزی کی اطلاع دی۔ LastPass کے اگست میں اپنے پہلے واقعے کا انکشاف کرنے کے فوراً بعد۔ کسی بھی کمپنی نے اس معاملے کی تصدیق نہیں کی ہے۔ ہم وضاحت کے لیے LastPass اور Plex تک پہنچ گئے ہیں اور اس کہانی کو اپ ڈیٹ کریں گے اگر ہمیں دوبارہ سننا پڑے۔
keylogger انسٹال کرنے کے بعد، LastPass کا کہنا ہے کہ دھمکی آمیز اداکار \”ملازم کے ماسٹر پاس ورڈ کو حاصل کرنے کے قابل تھا جیسا کہ یہ درج کیا گیا تھا، جب ملازم کی تصدیق کے بعد [multifactor authentication]، اور D
evOps انجینئر کے LastPass کارپوریٹ والٹ تک رسائی حاصل کریں۔ کمپنی نے اس کے بعد سے اپنے پلیٹ فارم کو محفوظ بنانے کے لیے اضافی اقدامات کیے ہیں، بشمول سرٹیفکیٹس کو منسوخ کرنا اور دھمکی آمیز اداکار کو معلوم ہونے والی اسناد کو تبدیل کرنا اور اضافی لاگنگ اور اس کے کلاؤڈ اسٹوریج میں الرٹ کرنا۔
اعلان کے ساتھ، LastPass نے ان ڈیٹا کی مکمل فہرست شائع کی ہے جس پر دونوں حفاظتی خلاف ورزیوں میں سمجھوتہ کیا گیا تھا۔ سرشار سپورٹ صفحہ. بلیپنگ کمپیوٹر رپورٹس کہ LastPass نے اس معلومات کو چھپانے کی کوشش کی ہے، تاہم، یہ نوٹ کرتے ہوئے کہ HTML ٹیگز کو دستاویز میں شامل کیا گیا تھا تاکہ اپ ڈیٹس کو سرچ انجنوں کے ذریعے انڈیکس ہونے سے روکا جا سکے۔ LastPass اس کے علاوہ ہے پی ڈی ایف شائع کیا۔ دو اضافی سیکیورٹی بلیٹنز کے ساتھ پچھلے سال کے واقعات کے حوالے سے مزید تفصیلات پر مشتمل ہے۔ LastPass مفت، پریمیم، اور فیملیز کے صارفین اور دوسرے کے لیے کاروباری منتظمین – اپنے اکاؤنٹس کو محفوظ بنانے کے لیے تجویز کردہ اقدامات کے ساتھ۔
>>Join our Facebook page From top right corner. <<