أثارت حادثة الاختراق الأخيرة لمدير كلمات المرور الكثير من القلق للمستخدمين، والذي يجب عليهم اتخاذ خطوات لحماية أنفسهم.

لقد سمعت الأمر مرارًا وتكرارًا، بإنه يجب عليك أن تستخدم مدير كلمة مرور لخلق كلمات مرور فريدة وصعبة الاختراق ومتابعتها. إذا سبق وإن اتخذت القرار في استخدام برنامج مدير كلمات مرور وخصوصًا خلال عام 2010 فهو في الغالب برنامج لاست باس، برنامج الحماية الذي يملك أكثر من 25.6 مليون مستخدم. أُعلن في ديسمبر 22 خبرًا مقلقًا للغاية: حادثة اختراق أمني حدثت للشركة في السابق خلال فترة 30 نوفمبر للعديد من كلمات المرور والبيانات ومعلومات المستخدمين.

المعلومات التي صرح بها لاست باس عن الوضع الأسبوع الماضي كانت مقلقةً كفاية للمختصين الأمنين الذين سارعوا بالاتصال بالمستخدمين للتحويل لخدمات أخرى. والآن، بعد مضي أسبوع من التصريح، لم تقدم الشركة أي معلومات إضافية إلى المستخدمين القلقين. ولم ترد شركة لاست باس على أسئلة مجلة ويرد الإعلامية أو حتى التعليق حول موضوع كم عدد المستخدمين الذين تضرروا وعدد الحسابات المخترقة.

ولم توضح الشركة أيضًا وقت الاختراق. لكنه من الواضح أنه حدث بعد شهر أغسطس 2022، إذ كان التوقيت مثاليًا، لأن هنالك العديد من الأسئلة حول المدة التي يستغرقها المخترقون للاختراق، أو حتى توقع الأرقام السرية. في حال إذا حدث الاختراق لمستخدمي لاست باس لأكثر من ثلاثة أو أربعة شهور، فإن الموضوع حرج وخطر جدًا.

لم تجب الشركة على الأسئلة حول “التنسيق الثنائي الخاص” والذي يخزن المعلومات المشفرة وغير المشفرة. أعلنت الشركة لوصف حجم الوضع قائلة: “إن المخترقين استطاعوا نسخ بيانات العميل الاحتياطية من الخزائن المشفرة”.

ذكر إيفان جونسون المهندس الأمني الذي عمل في لاست باس قبل سبعة سنوات قائلاً: “أرى أنهم يعملون عملاً رائعًا في كشف المشاكل، لكن أداءهم في منعها والتعامل بشفافية معها رديء للغاية”. وذكر أيضًا: “إذا كنت في مكانهم سوف أقوم بالبحث عن خيارات جديدة أو محاولة بناء الثقة من جديد خلال الأشهر القادمة بقيادة مديرهم الإداري الجديد”.

ويتضمن الاختراق عدة معلومات أخرى للعملاء مثل، أسمائهم، والبريد الإلكتروني، وأرقام هواتفهم، وعناوينهم. ولطالما تعرضت شركة لاست باس للانتقاد حول سياسة تخزين المعلومات الخاصة بهم مثل حفظ الأرقام السرية مشفرةً والمعلومات الأخرى مثل الروابط بدون تشفير.

في هذه الحالة يسهل للمخترق أن يعرف من الروابط غير المشفرة ما هي أولوياته وماذا يخترق في البداية. تشكل الخزنات المحمية بكلمات السر الرئيسية التي اختارها المستخدمون مشكلة لهم في حماية أنفسهم في وقت الاختراق لأن تغيير الأرقام السرية الرئيسية مع لاست باس لن يكون ذو أي فائدة لأن المعلومات سرقت بالفعل.

أو كما ذكر جونسن: “مع استعادة الخزنات، ما زال هنالك وقت غير محدود للأشخاص الذين اخترقوا لاست باس بتوقع كلمات السر ومحاولة إرجاع بعض المفاتيح الرئيسية للمستخدمين”.

ويعني ذلك أن على المستخدمين الذهاب إلى خزائنهم وأخذ خطوات إضافية لحماية أنفسهم- بما في ذلك تغيير جميع أرقامهم السرية.

عليك الآن البدء بتشغيل المصادقة ذات العاملين لأكبر عدد ممكن لحساباتك، وأهمها الحسابات المهمة، مثل بريدك الإلكتروني، والخدمات المالية، وحسابات الوسائط الاجتماعية المستخدمة بكثرة. إذ لن يتمكن المخترقون من الدخول لحسابك إلا بالحصول على رمز مفتاح المصادقة لمرة واحدة، بعد ذلك قم بتغير كلمات المرور لجميع الحسابات المهمة. ثم قم بتغيير جميع كلمات المرور المتبقية في خزنتك داخل حسابك عبر برنامج لاست باس.

بينما تقوم بفعل كل ذلك، فقد حان الوقت إلى أن تبدل مدير كلمات المرور بآخر جديد، يمكنك فيه إضافة حسابات إلى الخدمة الجديدة عند تغييرها. حيث توصي مجلة ويرد باستخدام خدمات 1 باسورد وبيتواردين المجانية، مع بدائل أخرى.

ذكر أحد كبار المهندسين الأمنيين، الذي طلب عدم ذكر اسمه بسبب علاقاته المهنية مع أفراد فريق لاست باس الأمني بأنه يجب على المستخدمين تغيير كلمات مرورهم بأسرع وقت ممكن. لقد فشلوا في الشيء الوحيد الذي من المفترض عليهم فعله – الا وهو توفير سحابة تخزين بيانات معتمدة وآمنة للحفاظ على المستندات”.

ولطالما أكد ممارسو الأمن بشكلٍ عام على أن موقف لاست باس لا ينبغي أن يمنع المستخدمين من استخدام مدير كلمات المرور بشكل عام. وإذا كنت مستخدمًا مخلصًا لخدمة لاست باس، فلا يزال عليك أن تغير كلمات المرور الخاصة بمخزنك، وتشغيل المصادقة الثنائية لكل حساب يقدمها، وتغيير جميع كلمات المرور في الخزنة الخاصة بك، حتى إذا انتقلت إلى مكان آخر وسط العملية.

يقول لوكاس أولينك باحث ومستشار مستقل في الخصوصية: “بصفتي شخصًا لديه خبرة في التعامل مع إشعارات خرق البيانات في الاتحاد الأوربي والتواصل معها، أود أن أقول إن استراتيجية الاتصال المختارة من لاست باس قد تحد من ثقة المستخدم. المشكلة الكبرى هي التوقيت أيضًا، لماذا تم كل هذا قبل عطلة نهاية العام، وعندما أبتدئ التحقيق الأولي قبل عدة أشهر؟”.

وكما ذكر أيضًا جيرمي قوسني مخترق كلمات المرور وذو خبرة كبيرة وكبير المهندسين الرئيسيين في فريق أمان ياهو، هذا الأسبوع في سلسلة واسعة من المنشورات حول الموقف: أعتدت على دعم لاست باس. ولقد أوصيت به لسنوات ودافعت عنه علنًا في وسائل الإعلام لكن الأمور تغيرت”.

المصدر: https://www.wired.com

ترجمة: محمد المحمدي

تويتر: @Mohtranslate

مراجعة وتدقيق: زينب محمد