انتشار شده در تاریخ 1404/09/22 - 17:00

جریمه ۱.۲ میلیون پوندی لست‌پس توسط بریتانیا

نهاد ناظر حریم خصوصی بریتانیا روز پنج‌شنبه، به دلیل یک رخنه امنیتی در سال ۲۰۲۲، شرکت تابعه بریتانیایی شرکت مدیریت گذرواژه لست‌پس را به پرداخت ۱.۲ میلیون پوند (معادل ۱.۶ میلیون دلار) جریمه محکوم کرد.

به گزارش کارگروه بین الملل خبرگزاری سایبربان، لست‌پس (LastPass) در دسامبر همان سال تأیید کرد که دو حمله هکری را تجربه کرده است؛ نخستین حمله در ماه اوت رخ داد که طی آن «مقداری کد منبع و اطلاعات فنی از محیط توسعه» از لپ‌تاپ شرکتی یکی از کارکنان مستقر در اروپا به سرقت رفت.

سپس مهاجمان از این داده‌ها در حمله‌ای دوم به لپ‌تاپ شخصی یکی از مهندسان ارشد مستقر در ایالات متحده سوءاستفاده کردند.

هکر به اعتبارنامه‌ها و کلیدهای این کارمند لست‌پس دست یافت؛ اطلاعاتی که «برای دسترسی و رمزگشایی برخی از حجم‌های ذخیره‌سازی در سرویس ذخیره‌سازی مبتنی بر ابر» مورد استفاده قرار گرفت.

در این حادثه، اطلاعات شخصی حداکثر ۱.۶ میلیون کاربر بریتانیایی این شرکت به خطر افتاد.

دفتر کمیسر اطلاعات بریتانیا (ICO) در زمان صدور جریمه اعلام کرد که لست‌پس در پیاده‌سازی تدابیر فنی و امنیتی به‌اندازه کافی قوی برای حفاظت از این داده‌ها ناکام بوده است.

مهاجم همچنین موفق شد به نسخه‌های رمزگذاری‌شده‌ای از داده‌های حساس ذخیره‌شده در مدیر گذرواژه دسترسی پیدا کند؛ از جمله نام وب‌سایت‌ها و خود گذرواژه‌ها.

با این حال، این نوع نفوذها عموماً کم‌خطر تلقی می‌شوند، زیرا انتظار می‌رود شکستن رمزگذاری AES با کلید ۲۵۶ بیتی از طریق حمله brute force زمان غیرقابل تصوری ببرد.

با این وجود، دفتر کمیسر اطلاعات بریتانیا تأکید کرد:

هیچ شواهدی مبنی بر اینکه هکرها توانسته باشند گذرواژه‌های مشتریان را رمزگشایی کنند وجود ندارد، زیرا این گذرواژه‌ها به‌صورت محلی روی دستگاه‌های کاربران ذخیره می‌شوند و توسط لست‌پس نگهداری نمی‌شوند.

با وجود این اطمینان، برخی کارشناسان نگران‌اند که هکرها در حال شکستن گذرواژه‌ها از روی خزانه‌های سرقت‌شده باشند.

برایان کربس، روزنامه‌نگار مستقل، گزارش داده است که «جریان پیوسته‌ای از سرقت‌های رمزارزی شش‌رقمی» به این رخنه امنیتی مرتبط بوده است.

جان ادواردز، کمیسر اطلاعات بریتانیا، اظهار داشت:

مدیران گذرواژه ابزارهایی ایمن و مؤثر برای کسب‌وکارها و عموم مردم هستند تا جزئیات متعدد ورود خود را مدیریت کنند و ما همچنان استفاده از آن‌ها را توصیه می‌کنیم. با این حال، همان‌طور که این حادثه نشان می‌دهد، شرکت‌هایی که چنین خدماتی ارائه می‌دهند باید اطمینان حاصل کنند که دسترسی و استفاده از سامانه‌ها به‌طور محدود و کنترل‌شده انجام می‌شود تا خطر حمله به‌طور چشمگیری کاهش یابد. مشتریان لست‌پس حق داشتند انتظار داشته باشند اطلاعات شخصی‌ای که به این شرکت سپرده‌اند، به‌صورت ایمن و محافظت‌شده نگهداری شود. اما شرکت در برآورده کردن این انتظار کوتاهی کرد و در نتیجه، جریمه متناسبی که امروز اعلام شد اعمال گردید.

لست‌پس از زمان رخنه امنیتی سال ۲۰۲۲ با پیامدهای مستمر آن مواجه بوده و سال گذشته تحت مالکیت جدید به‌عنوان یک نهاد مستقل تفکیک شد.

سخنگوی لست‌پس عنوان کرد:

ما از زمانی که این حادثه را در سال ۲۰۲۲ به دفتر کمیسر اطلاعات بریتانیا بریتانیا گزارش دادیم، با این نهاد همکاری کرده‌ایم. هرچند از نتیجه ناامید هستیم، اما خوشحالیم که تصمیم دفتر کمیسر اطلاعات بریتانیا بسیاری از اقداماتی را که پیش‌تر برای تقویت بیشتر پلتفرم و ارتقای تدابیر امنیت داده انجام داده‌ایم به رسمیت شناخته است. تمرکز ما همچنان بر ارائه بهترین خدمات ممکن به ۱۰۰ هزار کسب‌وکار و میلیون‌ها کاربر فردی است که همچنان به لست‌پس اتکا دارند.