LastPass releases new security incident disclosure and recommendations

Byadmin
लास्टपास मोबाइल ऐप आइकन एक आईफोन पर देखा जाता है। लास्टपास एक फ्रीमियम पासवर्ड मैनेजर है जो एन्क्रिप्टेड पासवर्ड को ऑनलाइन स्टोर करता है।
छवि: टाडा छवियां/एडोब स्टॉक

लास्टपास को पिछले साल एक ही अभिनेता ने दो बार हैक किया था; एक घटना अगस्त 2022 के अंत में और दूसरी 30 नवंबर, 2022 को दर्ज की गई थी। वैश्विक पासवर्ड प्रबंधक कंपनी ने बुधवार को एक रिपोर्ट जारी की जिसमें इसकी सुरक्षा घटना की जांच से नए निष्कर्ष निकले, साथ ही उपयोगकर्ताओं और प्रभावित व्यवसायों के लिए अनुशंसित कार्रवाई भी की गई।

करने के लिए कूद:

लास्टपास अटैक कैसे हुआ और क्या समझौता हुआ

लास्टपास की रिपोर्ट के अनुसार, हैकर ने शुरुआत में अगस्त में एक सॉफ्टवेयर इंजीनियर के कॉरपोरेट लैपटॉप में सेंध लगाई थी। पहला हमला महत्वपूर्ण था, क्योंकि हैकर उस जानकारी का लाभ उठाने में सक्षम था जिसे खतरे वाले अभिनेता ने प्रारंभिक सुरक्षा घटना के दौरान चुरा लिया था। तीसरे पक्ष के मीडिया सॉफ़्टवेयर पैकेज भेद्यता का शोषण करते हुए, बुरे अभिनेता ने दूसरा समन्वित हमला किया। दूसरे हमले में एक DevOps इंजीनियर के घर के कंप्यूटर को निशाना बनाया गया।

कंपनी की हालिया सुरक्षा घटना रिपोर्ट में विस्तार से बताया गया है, “खतरा अभिनेता कर्मचारी के मास्टर पासवर्ड पर कब्जा करने में सक्षम था क्योंकि यह एमएफए के साथ प्रमाणित होने के बाद दर्ज किया गया था और देवओप्स इंजीनियर के लास्टपास कॉर्पोरेट वॉल्ट तक पहुंच प्राप्त की थी।”

लास्टपास ने पुष्टि की है कि दूसरी घटना के दौरान, हमलावर ने कंपनी के डेटा वॉल्ट, क्लाउड-आधारित बैकअप स्टोरेज – कॉन्फ़िगरेशन डेटा, एपीआई रहस्य, तृतीय-पक्ष एकीकरण रहस्य, ग्राहक मेटाडेटा – और सभी ग्राहक वॉल्ट डेटा बैकअप तक पहुंच बनाई। LastPass वॉल्ट में साझा क्लाउड-स्टोरेज वातावरण तक पहुंच भी शामिल है जिसमें Amazon S3 बकेट में संग्रहीत ग्राहक वॉल्ट बैकअप के लिए एन्क्रिप्शन कुंजियाँ शामिल हैं जहाँ उपयोगकर्ता अपने Amazon वेब सेवा क्लाउड वातावरण में डेटा संग्रहीत करते हैं।

दूसरा हमला अत्यधिक केंद्रित और अच्छी तरह से शोध किया गया था, क्योंकि इसने लास्टपास के केवल चार कर्मचारियों में से एक को लक्षित किया था, जिनकी कॉर्पोरेट तिजोरी तक पहुंच है। हैकर के पास डिक्रिप्टेड वॉल्ट होने के बाद, साइबर क्रिमिनल ने प्रविष्टियों को निर्यात किया, जिसमें एडब्ल्यूएस एस3 लास्टपास प्रोडक्शन बैकअप, अन्य क्लाउड-आधारित स्टोरेज संसाधनों और संबंधित महत्वपूर्ण डेटाबेस बैकअप तक पहुंचने के लिए आवश्यक डिक्रिप्शन कुंजी शामिल थी।

LastPass से सुरक्षा अनुशंसाएँ

लास्टपास ने दो सुरक्षा बुलेटिनों में प्रभावित उपयोगकर्ताओं और व्यवसायों के लिए सिफारिशें जारी कीं। यहां उन बुलेटिनों के प्रमुख विवरण दिए गए हैं।

द सिक्योरिटी बुलेटिन: लास्टपास फ्री, प्रीमियम और परिवारों के लिए अनुशंसित कार्यों में मुख्य रूप से मास्टर पासवर्ड पर केंद्रित सर्वोत्तम प्रथाएं, मजबूत पासवर्ड बनाने के लिए गाइड और सुरक्षा की अतिरिक्त परतों जैसे मल्टीफैक्टर प्रमाणीकरण को सक्षम करना शामिल है। कंपनी ने यूजर्स से अपना पासवर्ड रीसेट करने का भी आग्रह किया।

LastPass मास्टर पासवर्ड आदर्श रूप से 16 से 20 वर्णों का होना चाहिए, जिसमें कम से कम एक अपर केस, लोअर केस, न्यूमेरिक, सिंबल और स्पेशल कैरेक्टर हों, और यूनिक हों – यानी किसी दूसरी साइट पर इस्तेमाल न किया गया हो। लास्टपास मास्टर पासवर्ड रीसेट करने के लिए, उपयोगकर्ता आधिकारिक लास्टपास गाइड का अनुसरण कर सकते हैं।

लास्टपास ने उपयोगकर्ताओं को अपने वर्तमान पासवर्ड की ताकत के सुरक्षा स्कोर की जांच करने, डार्क वेब मॉनिटरिंग सुविधा को चालू करने और डिफ़ॉल्ट एमएफए को सक्षम करने के लिए सुरक्षा डैशबोर्ड का उपयोग करने के लिए कहा। डार्क वेब मॉनिटरिंग उपयोगकर्ताओं को अलर्ट करता है जब उनके ईमेल पते डार्क वेब फ़ोरम और साइटों पर दिखाई देते हैं।

सुरक्षा बुलेटिन: लास्टपास बिजनेस एडमिनिस्ट्रेटर के लिए अनुशंसित कार्य विशेष रूप से इवेंट के बाद लास्टपास का उपयोग करने वाले व्यवसायों की सहायता के लिए तैयार किए गए थे। अधिक व्यापक मार्गदर्शिका में 10 बिंदु शामिल हैं:

  • मास्टर पासवर्ड की लंबाई और जटिलता।
  • पुनरावृत्ति मास्टर पासवर्ड के लिए गिना जाता है।
  • सुपर एडमिन सर्वोत्तम अभ्यास।
  • एमएफए साझा रहस्य।
  • सिएम स्प्लंक एकीकरण।
  • अनएन्क्रिप्टेड डेटा के कारण एक्सपोजर।
  • पासवर्ड ऐप्स का बहिष्कार (उपयोगकर्ताओं को साइट्स पुश करें)।
  • SCIM, Enterprise API और SAML कुंजियों को रीसेट करें।
  • संघीय ग्राहक विचार।
  • अतिरिक्त मुद्दो पर विचार करना।

सुपर एडमिन लास्टपास यूजर्स के पास अतिरिक्त विशेषाधिकार होते हैं जो औसत एडमिनिस्ट्रेटर से आगे जाते हैं। उनकी व्यापक शक्तियों को देखते हुए, कंपनी ने हमलों के बाद सुपर एडमिन उपयोगकर्ताओं के लिए विशेष अनुशंसाएँ जारी कीं। लास्टपास सुपर एडमिन की सिफारिशों में निम्नलिखित शामिल हैं।

  • मास्टर पासवर्ड और पुनरावृत्तियों की सर्वोत्तम प्रथाओं का पालन करें: सुनिश्चित करें कि आपके सुपर व्यवस्थापक उपयोगकर्ताओं के पास मजबूत मास्टर पासवर्ड और मजबूत पुनरावृति संख्या है।
  • “सुपर व्यवस्थापकों को मास्टर पासवर्ड रीसेट करने की अनुमति दें” नीति अधिकारों के साथ सुपर व्यवस्थापकों की समीक्षा करें: यदि सुपर एडमिन को मास्टर पासवर्ड रीसेट करने की अनुमति देने की नीति सक्षम है, और उपयोगकर्ता कमजोर मास्टर पासवर्ड और/या कम पुनरावृत्तियों के साथ सुपर एडमिन की पहचान करते हैं, तो उनका लास्टपास टेनेंट जोखिम में हो सकता है। इनकी समीक्षा की जानी चाहिए।
  • सुरक्षा समीक्षा करें: लास्टपास बिजनेस अकाउंट के लिए आगे की कार्रवाई निर्धारित करने के लिए व्यवसायों को व्यापक सुरक्षा समीक्षा करनी चाहिए।
  • समीक्षा के बाद की कार्रवाइयाँ: जोखिम वाले सुपर व्यवस्थापक खातों की पहचान करें और उन सुपर व्यवस्थापकों का निर्धारण करें जिनके पास कमजोर मास्टर पासवर्ड या पुनरावृत्ति संख्या है, उन्हें निम्नलिखित क्रियाएं करनी चाहिए:
    • संघीय लॉगिन ग्राहक: सभी उपयोगकर्ताओं को डी-फेडरेट करने और फिर से जोड़ने पर विचार करें और उपयोगकर्ताओं से सभी वॉल्ट क्रेडेंशियल्स को घुमाने का अनुरोध करें।
    • गैर-संघीय लॉगिन ग्राहक: उपयोगकर्ता मास्टर पासवर्ड रीसेट करने पर विचार करें और उपयोगकर्ताओं से सभी वॉल्ट क्रेडेंशियल्स को घुमाने का अनुरोध करें।
  • क्रेडेंशियल्स का रोटेशन: लास्टपास एंड-यूज़र वॉल्ट में महत्वपूर्ण क्रेडेंशियल्स के रोटेशन को प्राथमिकता देने के लिए जोखिम-आधारित दृष्टिकोण का उपयोग करने का सुझाव देता है।
  • “सुपर व्यवस्थापकों को साझा किए गए फ़ोल्डरों तक पहुंचने की अनुमति दें” अधिकारों के साथ सुपर व्यवस्थापकों की समीक्षा करें: यदि सुपर एडमिन पासवर्ड कमजोर होना निर्धारित है तो मास्टर पासवर्ड रीसेट करें। साझा किए गए फ़ोल्डरों में क्रेडेंशियल्स घुमाएं।
  • एमएफए की जांच करें: उन उपयोगकर्ताओं को दिखाने के लिए सक्षम बहुकारक प्रमाणीकरण रिपोर्ट तैयार करें, जिन्होंने उनके द्वारा उपयोग किए जा रहे MFA समाधानों सहित MFA विकल्प को सक्षम किया है।
  • एमएफए रहस्य रीसेट करें: लास्टपास ऑथेंटिकेटर, गूगल ऑथेंटिकेटर, माइक्रोसॉफ्ट ऑथेंटिकेटर या ग्रिड के लिए, सभी MFA सीक्रेट्स को रीसेट करें।
  • उपयोगकर्ताओं को ईमेल भेजें: एमएफए साझा रहस्यों को रीसेट करने से सभी लास्टपास सत्र और विश्वसनीय डिवाइस नष्ट हो जाते हैं। उपयोगकर्ताओं को वापस लॉग इन करना होगा, स्थान सत्यापन के माध्यम से जाना होगा और सेवा का उपयोग जारी रखने के लिए अपने संबंधित MFA ऐप्स को पुनः सक्षम करना होगा। LastPass पुन: नामांकन प्रक्रिया के बारे में जानकारी प्रदान करने वाला एक ईमेल भेजने की सिफारिश करता है।
  • बातचीत करना: सुरक्षा घटना रिपोर्ट और कार्रवाई करने के लिए संचार करें। फ़िशिंग और सोशल इंजीनियरिंग तकनीकों पर उपयोगकर्ताओं को सचेत करें।

LastPass विकल्प और हैक का प्रभाव

लास्टपास ने विश्वास व्यक्त किया है कि उसने भविष्य में सेवा तक पहुंच को नियंत्रित करने और मिटाने के लिए आवश्यक कार्रवाई की है; हालांकि, वायर्ड के अनुसार, लास्टपास का अंतिम खुलासा इतना संबंधित था कि सुरक्षा पेशेवरों ने तेजी से “उपयोगकर्ताओं को अन्य सेवाओं पर स्विच करने के लिए कॉल करना शुरू कर दिया।” लास्टपास के शीर्ष प्रतियोगियों में 1पासवर्ड और डैशलेन शामिल हैं।

देखें: बिटवर्डन बनाम 1पासवर्ड | कीपर बनाम लास्टपास (TechRepublic)

विशेषज्ञों ने लास्टपास की पारदर्शिता पर भी सवाल उठाया है, जो सुरक्षा घटना के बयानों को तारीख करने में विफल रहता है और अभी भी रिकॉर्ड को ठीक से सेट नहीं किया है कि दूसरा हमला कब हुआ, और न ही हैकर सिस्टम के अंदर कितने समय तक रहा; किसी हैकर के सिस्टम के अंदर मौजूद समय डेटा और सिस्टम की मात्रा को महत्वपूर्ण रूप से प्रभावित करता है जिसका फायदा उठाया जा सकता है। (मैंने एक टिप्पणी के लिए लास्टपास से संपर्क किया, लेकिन प्रकाशन के समय तक मुझे कोई जवाब नहीं मिला।)

LastPass उपयोगकर्ताओं के लिए, हाल की इन सुरक्षा घटनाओं के परिणाम स्पष्ट हैं। जबकि कंपनी का आश्वासन है कि इस बात का कोई संकेत नहीं है कि समझौता किए गए डेटा को डार्क वेब पर बेचा या विपणन किया जा रहा है, लास्टपास द्वारा जारी व्यापक सिफारिशों से निपटने के लिए व्यवसाय प्रशासकों को छोड़ दिया जाता है।

एक पासवर्ड रहित भविष्य

दुर्भाग्य से, पासवर्ड मैनेजरों को हैक करने का चलन नया नहीं है। LastPass ने 2016 के बाद से हर साल सुरक्षा घटनाओं का अनुभव किया है, और अन्य शीर्ष पासवर्ड प्रबंधकों जैसे Norton LifeLock, Passwordstate, डैशलेन, कीपर, 1Password और RoboForm को या तो लक्षित किया गया है, उनका उल्लंघन किया गया है या वे असुरक्षित साबित हुए हैं, जैसा कि Best Review द्वारा रिपोर्ट किया गया है।

साइबर अपराधी तेजी से पासवर्ड प्रबंधक कंपनियों को निशाना बना रहे हैं क्योंकि उनके पास संवेदनशील डेटा है जिसका उपयोग लाखों खातों तक पहुंचने के लिए किया जा सकता है, जिसमें क्लाउड खाते शामिल हैं जहां व्यवसाय-महत्वपूर्ण सिस्टम और डिजिटल संपत्तियां होस्ट की जाती हैं। इस अत्यधिक प्रतिस्पर्धी परिदृश्य में, साइबर सुरक्षा प्रथाओं, पारदर्शिता, उल्लंघनों और डेटा की चोरी इन पासवर्ड प्रबंधक कंपनियों के भविष्य को प्रभावित कर सकती है।

इस तथ्य के बावजूद कि स्काईक्वेस्ट की रिपोर्ट के अनुसार, पासवर्ड प्रबंधक बाजार 2028 तक 7.09 बिलियन डॉलर तक पहुंचने की उम्मीद है, यह कोई आश्चर्य की बात नहीं है कि FIDO गठबंधन के तहत Apple, Microsoft और Google द्वारा संचालित एक पासवर्ड रहित भविष्य गति प्राप्त करना जारी रखता है। पासवर्ड-मुक्त भविष्य के लिए इसकी योजनाओं के बारे में 1Password के साथ TechRepublic का हालिया साक्षात्कार पढ़ें।

Similar Posts

Square Payroll vs OnPay: 2024 Payroll Software Comparison

Square Payroll vs OnPay: 2024 Payroll Software Comparison

Byadmin

Square Payroll and OnPay are top payroll software solutions for independent business owners, solopreneurs, small businesses and some midsize businesses. While neither provider is particularly scalable — they each offer one plan only — both payroll products are reasonably priced with a full suite of features that can help growing businesses onboard and pay top…

How to Use Project Templates in Hive

How to Use Project Templates in Hive

Byadmin

यदि आप एक हाइव उपयोगकर्ता हैं, तो अपने प्रोजेक्ट प्रबंधन सेटअप को और अधिक सुव्यवस्थित बनाने के लिए देशी और कस्टम प्रोजेक्ट टेम्प्लेट दोनों का उपयोग करने का तरीका जानें। छवि: Rawpixel.com/Adobe स्टॉक Hive की स्थापना 2015 में परियोजना प्रबंधन और AI को एक साथ लाने के लिए की गई थी, जो एक मंच में…

Speed, Interaction, Sophistication of Threat Actors Rising in 2023

Speed, Interaction, Sophistication of Threat Actors Rising in 2023

Byadmin

As attackers focus on political ends, big payouts, threat hunters need to focus on identity intrusions, access merchants and tactics enabling fast lateral movement. Image: WhataWin Adversary breakout time — the time it takes a threat actor to zipline from the initial point of entry into a network — hit an average all-time low of…

Enforcing Password Resets for Local Group Users

Enforcing Password Resets for Local Group Users

Byadmin

व्यवस्थापक उपयोगकर्ताओं को अपने अगले विंडोज 11 लॉगिन के दौरान एक कठिन-से-ढूंढने वाली कॉन्फ़िगरेशन स्क्रीन पर कुछ सरल परिवर्तन करके अपने संबंधित पासवर्ड को रीसेट करने के लिए मजबूर कर सकते हैं। छवि: मार्क केलिन / टेकरिपब्लिक आपके संगठन के आकार के बावजूद, सर्वोत्तम अभ्यास सुरक्षा प्रक्रियाओं का पालन करना आपके संचालन के लिए मौलिक…

Cloud Data Systems and Edge AI Make a Major Impact on Today’s Data Science

Cloud Data Systems and Edge AI Make a Major Impact on Today’s Data Science

Byadmin

Gartner outlines the top trends in machine learning and data science, including the impact of generative AI. Learn more about the top trends with our article. Image: kras99/Adobe Stock Gartner outlines the top trends in machine learning and data science, including the impact of generative AI. Investors will pour more than $10 billion into AI…

How to Expand Your Value as CIO in 4 Ways

How to Expand Your Value as CIO in 4 Ways

Byadmin

A Gartner analyst details how CIOs can deliver executive leadership and expand their responsibilities in four ways in the next era of digitalization. Image: iStockphoto/fizkes In the early days of digitalization, CIOs recognized the potential value of advancing technology and led their peers and stakeholders as evangelists, extolling new opportunities and business models through digital….