संघीय प्राधिकरणों ने 2022 LastPass हैक और साइबर उगाही के बीच संबंध की पुष्टि की

 (krebsonsecurity.com)
1 पॉइंट द्वारा GN⁺ 2025-03-09 | 1 टिप्पणियां | WhatsApp पर शेयर करें

  • सितंबर 2023 का LastPass हैकिंग मामला

    • KrebsOnSecurity ने सितंबर 2023 में रिपोर्ट किया कि LastPass का master password चोरी हो गया था, जिससे कई पीड़ितों के साथ सैकड़ों हज़ार डॉलर की साइबर चोरी हुई।
    • अमेरिकी संघीय जांचकर्ता 30 जनवरी 2024 को हुई 150 million डॉलर की cryptocurrency चोरी की जांच करते हुए इसी निष्कर्ष पर पहुँचे।

  • cryptocurrency चोरी की घटना

    • 6 मार्च 2024 को, उत्तरी कैलिफ़ोर्निया के संघीय अभियोजकों ने घोषणा की कि 150 million डॉलर की साइबर चोरी के बाद लगभग 24 million डॉलर मूल्य की cryptocurrency बरामद की गई।
    • माना जाता है कि इस घटना के पीड़ित Ripple के सह-संस्थापक Chris Larsen थे।

  • संघीय जांचकर्ताओं के निष्कर्ष

    • U.S. Secret Service और FBI ने LastPass हैकिंग मामले से जुड़े चोरी के मामलों पर एक ही निष्कर्ष निकाला।
    • उन्होंने पुष्टि की कि चोरी किया गया डेटा और passwords का इस्तेमाल पीड़ितों के online password manager accounts तक अवैध पहुंच पाने और cryptocurrency तथा अन्य data चुराने में किया गया।

  • पीड़ितों की समान विशेषताएँ

    • security researchers Nick Bax और Taylor Monahan ने पाया कि पीड़ितों को email, mobile account, या SIM swapping attacks जैसे सामान्य हमलों का सामना नहीं करना पड़ा था।
    • सभी पीड़ितों ने अपने LastPass account के "Secure Notes" में cryptocurrency seed phrases संग्रहीत कर रखी थीं।

  • जटिल चोरी का पैटर्न

    • चोरी की गई धनराशि को तेज़ी से विभिन्न cryptocurrency exchanges के कई accounts में स्थानांतरित किया गया।
    • सरकार का मानना है कि चोरी का यह जटिल पैटर्न कई malicious actors के सहयोग से अंजाम दिया गया।

  • LastPass की प्रतिक्रिया

    • LastPass का कहना है कि उसने संघीय जांचकर्ताओं या अन्य स्रोतों से ऐसा कोई निर्णायक सबूत नहीं देखा कि ये चोरी की घटनाएँ LastPass हैक से जुड़ी थीं।
    • अगस्त 2022 में LastPass ने घोषणा की थी कि उसने अपने software development environment में असामान्य गतिविधि का पता लगाया है और कुछ source code तथा technical information चोरी हो गई है।
    • नवंबर 2022 में LastPass ने ग्राहकों को सूचित किया कि encrypted password vaults और personal information से समझौता किया गया था।

  • security experts की राय

    • कई पीड़ित comparatively कम जटिलता वाले master passwords का उपयोग कर रहे थे, जिससे संकेत मिलता है कि वे संभवतः LastPass के पुराने ग्राहक थे।
    • LastPass ने नए users के लिए अधिक जटिल passwords अनिवार्य किए थे, लेकिन ऐसा लगता है कि वह पुराने ग्राहकों पर यह लागू नहीं कर पाया।

  • security मजबूत करने की ज़रूरत

    • researchers का कहना है कि LastPass को ग्राहकों को password बदलने की सिफारिश करनी चाहिए थी।
    • LastPass की नकारात्मक प्रतिक्रिया के बावजूद, security researchers ने ज़ोर दिया कि आगे की hacking रोकने के लिए अतिरिक्त कदम ज़रूरी हैं।

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2025-03-09
Hacker News राय
  • 1Password को इस बात का पर्याप्त श्रेय नहीं मिलता कि वह सभी vaults को एक उन्नत secret key से encrypt करता है। इसकी कीमत user experience और support burden के रूप में चुकानी पड़ती है, लेकिन इसकी वजह से data breach होने पर भी बड़ा नुकसान नहीं होता
  • LastPass ने data breach की गंभीरता को कम करके दिखाया और notes section जैसे डेटा को ठीक से encrypt नहीं किया। उसने ज़िम्मेदारी से बचने की कोशिश की, लेकिन उस पर मुकदमा होना चाहिए था
  • LastPass जानता था कि users के master passwords पर्याप्त सुरक्षित नहीं थे, फिर भी उसने सक्रिय रूप से कदम नहीं उठाए। यह अक्षम्य है
  • LastPass इस्तेमाल करने वाले लोगों को 1Password, Bitwarden, Keepass जैसे अधिक भरोसेमंद विकल्पों पर जाना चाहिए और अपने सभी महत्वपूर्ण passwords बदल देने चाहिए
  • यह बात उलझन में डालती है कि LastPass hack से passwords का नुकसान कैसे हुआ। मैंने सोचा था कि यह 1Password की तरह काम करता है, और अगर ऐसा है तो यह अभी भी बहुत कठिन या असंभव होना चाहिए। क्या कोई समझा सकता है कि password managers या LastPass इसमें कैसे अलग हैं?
  • 1Password में decryption key दो हिस्सों में बंटी होती है: user का एकमात्र password + secret key। दोनों की ज़रूरत होती है। secret key random तरीके से generate होती है और लगभग 128-bit की होती है। 1Password इसे बनाकर user को भेजता है, लेकिन फिर दोबारा इसे नहीं देखता। vault चोरी हो जाने पर भी password और 128-bit secret key दोनों को crack करना पड़ता है, इसलिए कम से कम 128-bit security सुनिश्चित होती है
  • LastPass इसमें कैसे अलग है? क्या secret key भी चोरी हो गई थी? क्या चोरी हुए vaults पर अतिरिक्त हमला करके secret key निकाली गई? क्या LastPass 1Password जैसी संरचना का उपयोग नहीं करता? या क्या 1Password इस्तेमाल करते हुए भी हमें इसे सुरक्षित नहीं मानना चाहिए?
  • 2013 में दूसरी बड़ी security breach के बाद से मैंने LastPass का उपयोग नहीं किया। Wikipedia पर कुल 3 घटनाएँ ही दिखती हैं, लेकिन मैंने 2010 से आज तक कम से कम 5 reports देखी हैं। इस पूरे समय मैंने कंपनियों में LastPass का उपयोग होते देखा, और हर बार हैरानी हुई
  • LastPass दावा करता है कि दोनों घटनाओं को जोड़ने वाला कोई सबूत नहीं है। लेकिन यह मानना कठिन है कि लाखों डॉलर के "collectibles" रखने वाले लोग कम से कम हर साल passwords नहीं बदलते होंगे
  • Password rotation अब best practice नहीं माना जाता, लेकिन इस मामले में यह अब भी एक सावधानीपूर्ण विकल्प है
  • local KeepassXC को देखकर शांति बनी रहती है
  • कहा गया था कि passwords को cloud में रखो, और यह भी कहा गया था कि कोई समस्या नहीं होगी
  • सभी लोगों के credentials को केंद्रीकृत करना अब भी सबसे खतरनाक विचार है। Hackers के लिए इससे अधिक आकर्षक चीज़ शायद free performance-enhancing drugs हो सकती हैं, लेकिन वह थोड़ी देर के लिए ही, फिर वे वापस आकर सबके credentials चुराने की कोशिश करेंगे
  • दूसरे लक्ष्य: सभी लोगों की personally identifiable information, दोस्तों, परिवार और पालतू जानवरों की जानकारी, security questions के जवाब, mobile ID, PIN numbers, account numbers, signatures, photos, fingerprints, voice patterns, face और retina scans, gait, DNA, mitochondrial RNA
  • मुझे याद है जब LastPass पहली बार आया था तो सबको लगता था कि यह कमजोर और अविश्वसनीय है। Pepperidge Farm को भी याद है
  • जो लोग security को लेकर संवेदनशील हैं, वे passwords के साथ क्या करते हैं? ऐसा लगता है कि या तो हर चीज़ के लिए एक ही password इस्तेमाल करना होगा या password manager का उपयोग करना होगा। लेकिन जब सारे passwords एक ही जगह इकट्ठे होते हैं, तो हमेशा डर रहता है कि कहीं एक के बजाय सब कुछ ही compromise न हो जाए
  • कई solutions में सुविधा के साथ समझौता महसूस होता है। कोई अपने office में passwords से भरा एक physical binder रख सकता है, लेकिन हर बार उसे ढूँढना और manually दर्ज करना झंझट भरा है, और जिनके पास physical access हो उनके लिए यह बड़ा जोखिम है