גל הפריצות נמשך: עכשיו זו LastPass

למרות שהראיות אינן מוחלטות, החברה החלה לנקוט צעדי מניעה למקרה שבוצעה חדירה למאגריה. המשתמשים התבקשו להחליף את סיסמת המאסטר שלהם לסיסמא חדשה וחזקה.

מקור: יח"צ

חברת LastPass, יצרנית התוסף לדפדפן שעוזר לכם לזכור את כל הסיסמאות שלכם לכל האתרים והשירותים השונים ברשת, מדווחת בשעות האחרונות כי ככל הנראה בוצעה פריצה אל שרתי החברה.

במהלך הפריצה הספיקו הגנבים להתחבר לאחד ממאגרי המידע של LastPass ולקחת משם מידע על המשתמשים בשירותיה. בעקבות כך, החברה החלה לבקש מחלק מהמשתמשים להחליף את הסיסמאות שלהם.

דבר הפריצה התגלה בעקבות מעקב אחר תקשורת הנתונים בין שרתי החברה, וכאשר בחברה שמו לב לנפח פעילות חריג באחד ממאגרי המידע, נפח פעילות שעשוי להיות בעצם פריצה של גורם זר אל תוך שרתי החברה, היא החליטה להודיע על כך מיד לציבור.

מה נגנב

לפי הפרסומים של LastPass והנחיותיה לציבור המשתמשים, החברה מדווחת כי במסגרת הפריצה שלפו הפורצים מידע מאחד ממאגרי המידע של החברה. במאגר זה אוחסנו, בין היתר, כתובות הדואר האלקטרוני של המשתמשים, ה-Server salt שלהם וגם ה-salted password hashes. כאשר המידע הזה בידיים הלא נכונות, החשש הוא שהפורצים ינסו להשתמש במידע הזה, אולי לצד מידע נוסף שיש להם ממקורות אחרים, ולנסות ולפצח את הסיסמאות של אנשים לשירותים שונים. חשש זה קיים בעיקר כלפי אנשים שהסיסמא שלהם מורכבת ממילים שלמות (dictionary words) ללא תווים מיוחדים, משום שאז עשוי להיות קל יותר לפצח את הסיסמא שלהם.

החשש – Brute Force

החשש העיקרי של החברה הוא מפני שימוש ב-brute force attack כדי לפצח סיסמאות של לקוחות, שסיסמת המאסטר שלהם מורכבת רק ממילים שלמות מהמילון. בחברה מדווחים כי מי שהסיסמא מורכבת ממילים ומספרים רנדומליים, היא איננה חשופה לסוג תקיפה שכזה.

להגנה על סיסמת המאסטר חשיבות רבה, לאור הדרך שבה עובד השירות. לאחר שמורידים את התוספים לדפדפנים של החברה, המשתמשים מקבלים אפשרות לתת לתוסף לזכור עבורם את הסיסמאות לכל השירותים והאתרים השונים, וכפועל יוצא, לעזור להם לנהל את הזהות הדיגיטלית שלהם ברשת. כדי להגן על הסיסמאות הללו, המשתמש בוחר לעצמו סיסמת-על, שהיא סיסמת המאסטר שלו. הוא לא צריך לזכור יותר את הסיסמאות לשאר האתרים, אלא רק את סיסמת המאסטר. בכל פעם שהוא זקוק לסיסמא לאתר מסוים, כל עוד יש לו את סיסמת המאסטר הוא יקבל אותה.

המידע שנטלו הפורצים עשוי לאפשר להם לנחש סיסמאות קלות, ולכן החברה ממליצה לכל משתמשי השירות, ובמיוחד מי שסיסמת המאסטר שלו הייתה חלשה, להתחבר שוב לשירות ולעדכן את הסיסמא.

 

נדב דופמן-גור

עו"ד העוסק בתחומי דיני הטכנולוגיה, דיני פרטיות וקניין רוחני. מרצה ומנטור לסטארטאפים, ובעל ניסיון רב-שנים בפיתוח ווב (http://about.me/nadavdg).

הגב

5 תגובות על "גל הפריצות נמשך: עכשיו זו LastPass"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
לאו
Guest

פעם הבא זה יהיה אתר ערבי..

אבי
Guest
לא ברור מדוע אנשים בוחרים להשתמש בשירות “ענן” לצורך כך ובוטחים בו עם איסחון סיסמאות לשלל חשבונותייהם ברשת ולא בצורה מקומית ומאובטחת במחשב האישי שלהם. נניח Roboform תוכנה ותיקה, שמתלבשת על הדפדפן שלכם ושומרת את כל הסיסמאות שלכם בצורה מוצפנת ונכנסת לכל האתרים שבהם יש לכם חשבון מבלי לבקש סיסמא בכלל. אבל ההבדל הוא שכאן המידע הקריטי נשמר על המחשב שלכם ולא על איזה שירות אינטרנטי שעלול להפרץ כמו שאנו רואים לאחרונה. למי שאין לו כוח להשתמש ברובופורם יכול להסתפק במנגנון המובנה של firefox שגם הוא שומר מקומית ומבקש MASTER PASSWORD כדי להכנס לאתרים שאתם רשומים בהם. עשו שימוש חכם… Read more »
יגאל
Guest

גם לא ברור למה משתמשים בוטחים בשירותי ענן אחרים ומעבירים דרכם מידע רגיע הרבה הרבב יותר: שירותי אימייל, פייסבוק, אלבומי תמונות, Dropbox ורבים אחרים.

איתי תבור
Guest

לצערי , כל אתר פריץ ..
זה רק עניין של זמן עד שיצליחו לפרוץ אליו.

אפשר להקשות.. אבל אי אפשר למנוע לחלוטין.

שרה מינסטר
Guest

שירותי ענן הם דבר חשוב, תלוי למה ולמי. אני רואה שירותי ענן המוצעים לפרטיים לשמירת כל המסמכים שלהם (שירותי הדואר), שמירת מידע פיננסי (מוצע ע”י חברות האשראי) ושמירת סיסמאות במיחשוב ענן?
הצעה שלי, קחו לכם מחשב בודד, ללא קישור לאינטרנט (כן ממש כך), ושימו עליו את כל המידע החשוב לכם. אל תחלקו אותו עם אחרים ובטח אל תעבירו מידע רגיש לחברות חיצוניות שיש להן בעיקר אינטרסים עיסקיים. הסיכוי שמישהו ינסה לפרוץ למחשב האישי שלכם, קטן עשרות מונים מהסיכוי שמישהו יפרוץ למחש המכיל מאגר מידע של הסיסמאות שלכם ועוד רבים כמותכם.

wpDiscuz

תגיות לכתבה: