LastPass ने उपयोगकर्ताओं को एक और डेटा लीक की सूचना दी

 (9to5mac.com)
1 पॉइंट द्वारा GN⁺ 5 시간 전 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • LastPass उपयोगकर्ताओं को यह सूचना मिली कि बाहरी पार्टनर Klue breach incident के कारण उनका personal data और support case data उजागर हुआ है
  • इस घटना में access का दायरा standard business contact information, CRM data, support case data और sales-related data तक सीमित रहा, जबकि password vault प्रभावित नहीं हुआ
  • उजागर हुई जानकारी में customer name, phone number, email address और physical address शामिल हैं, और Klue platform Salesforce तथा Gong systems के साथ integrated है
  • घटना का पता चलने के बाद LastPass ने कर्मचारियों का Klue access revoke किया, exposed API tokens को rotate किया, और law enforcement notification के साथ Klue व Salesforce के जरिए जांच शुरू की
  • लीक हुई contact information का दुरुपयोग phishing और social engineering attacks में हो सकता है, इसलिए customers और companies को साझा किए गए indicators of compromise की जांच करनी चाहिए

Klue breach incident और LastPass की प्रतिक्रिया

  • market intelligence company Klue में हुई breach incident के प्रभाव में LastPass ने प्रभावित उपयोगकर्ताओं को email भेजा
  • hackers इस breach के जरिए customer information और support case data तक पहुंच सके
  • accessed जानकारी का दायरा निम्न तक सीमित था
    • customer name, phone number, email address, physical address
    • customer relationship management (CRM) data
    • support case data
    • sales-related data
  • इस घटना में LastPass का password vault प्रभावित नहीं हुआ
  • Klue platform Salesforce और Gong systems के साथ integrated है
  • LastPass ने incident response के तहत access block करने और investigation की प्रक्रिया शुरू की
    • कर्मचारियों की Klue access permission रद्द करना
    • exposed API tokens को replace करना
    • law enforcement को notify करना
    • Klue और Salesforce से संपर्क कर breach के दायरे की जांच करना

attack indicators और पिछले security incidents

  • customers को लीक हुई जानकारी का उपयोग करके किए जा सकने वाले phishing attacks या social engineering प्रयासों से सावधान रहना चाहिए
  • कंपनियां अपने systems में संबंधित गतिविधि खोज सकें, इसके लिए attackers से जुड़े indicators साझा किए गए हैं
    • IP addresses:
      • 138.226.246[.]94
      • 94.154.32[.]160
      • 159.183.215[.]61
      • 159.183.181[.]239
    • email sender domains:
      • baccarat.com[.]au
      • robinskitchen.com[.]au
      • house.com[.]au
  • LastPass पहले भी कई security incidents का सामना कर चुका है
    • 2015 में account email addresses, password hints, authentication hashes और encryption salts चोरी हो गए थे, लेकिन encrypted vault data तक पहुंच नहीं हुई थी
    • 2022 में attackers ने developer account compromise करके source code और technical information चुराई, और बाद में उसी का उपयोग करके customer records तथा encrypted password vaults वाले cloud backups तक पहुंच बनाई
    • 2022 की उसी घटना में name, billing address, email address और phone number जैसी unencrypted information भी शामिल थी

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 5 시간 전
Hacker News की टिप्पणियाँ

  • अब समझ नहीं आता कि LastPass पर कोई गंभीरता से भरोसा कैसे कर सकता है
    कुछ साल पहले मैं बैंकिंग डेटा संभालने वाली एक कंपनी में काम करता था, और पिछली LastPass security incident के तुरंत बाद भी वे LastPass इस्तेमाल करते रहे, और migrate करने का कोई प्लान भी नहीं था

    • बहुत से लोग और संगठन security products का इस्तेमाल security के लिए नहीं बल्कि security theater के लिए करते हैं
      ज़्यादातर लोग, यहाँ तक कि security की ज़िम्मेदारी वाले लोगों में से भी कई, शायद इस breach के बारे में सुने ही न हों, इसलिए उनके लिए LastPass अभी भी ठीक से काम कर रहा है
    • अगर passwords अभी तक सामने नहीं आए हैं, तो end user के नज़रिए से वह “breach” असफल नहीं है
      अगर vault का master password सुरक्षित है, और vault तक पहुँचने का एकमात्र तरीका अभी भी master password ही है, तो यह end user की चाही गई functionality दे रहा है
      “breach” शब्द बिना शर्तों के कोई खास मतलब नहीं रखता
    • मैंने सैकड़ों कंपनियों को security consulting दी है, और सच में security को गंभीरता से लेने वाली कंपनियाँ वही थीं जो पहले breach झेल चुकी थीं
      management और board जब तक cost impact खुद नहीं देख लेते, सिर्फ पढ़ लेने भर से security program के लिए ज़रूरी budget कभी नहीं मिलता
      इसका मतलब यह नहीं कि मैं इसी वजह से LastPass recommend करूँगा, लेकिन सिर्फ इसी वजह से उसे पूरी तरह खारिज भी नहीं करूँगा
    • समझ नहीं आता लोग अपने सारे passwords और encryption keys किसी third party को कैसे सौंप देते हैं
      KeePassXC setup करना बहुत आसान है

  • प्रभावित कंपनियाँ इससे कहीं ज़्यादा हैं। नीचे उनमें से कुछ की सूची है

    "Klue has not said how many of its hundreds of customers are affected. Several companies have come forward to confirm they had data stolen during the attack, including Gong, Jamf, HackerOne, Insurity, OneTrust, Recorded Future, Snyk, Sprout Social, and Tanium."
    Cybercrime group Icarus took credit for the breach, saying on its leak site that it will publish the stolen data on Monday if the company does not pay the hackers’ ransom."
    https://techcrunch.com/2026/06/22/klue-hack-results-in-data-...

  • समझ नहीं आता LastPass आखिर क्यों customer details को किसी market research company को दे रहा है
    ऐसे data को नाम, सटीक पते वगैरह हटाकर पूरी तरह anonymize किया जाना चाहिए था
    recommendation ढूँढने वालों के लिए मैं KeepassXC और Keepass2Android इस्तेमाल करता हूँ। यह open source है, local database इस्तेमाल करता है, और sync करना है या नहीं यह आप खुद चुन सकते हैं। मैं Own cloud से sync करता हूँ

    • मैं कई सालों से pwsafe इस्तेमाल कर रहा हूँ
      यह भी free open source है और local-only vault है। किसी ऐसी cloud service पर निर्भर रहने की ज़रूरत नहीं जो लापरवाही से data खो दे
      चाहें तो vault को Dropbox या iCloud Drive में रखा जा सकता है, लेकिन मुझे समझ नहीं आता कि ऐसा करने की ज़रूरत ही क्या है

    • Any such data should have been fully anonymized: no names, no specific addresses, etc..
      वैसे शुरू से ही ऐसा data देना क्यों चाहिए?

  • https://blog.lastpass.com/posts/klue-supply-chain-incident-a...

    The information accessed was limited to standard business contact information and related customer relationship management (CRM) data, including customer names, phone numbers, email addresses, and physical addresses, as well as support case data and sales-related data.

  • यह तरीका कुछ मायनों में LastPass इस्तेमाल करने से भी बदतर हो सकता है, लेकिन पिछले कुछ सालों में मैंने अपने 90% passwords बस generate करके भूल दिए
    बाकी 10% ही password manager में रखता हूँ। अगर service बहुत महत्वपूर्ण नहीं है, तो हर login पर “forgot password” करके नया password बना लेता हूँ और बदल देता हूँ

    • अगर account पर 2FA नहीं है तो यह तरीका चल जाता है
      मेरी पिछली side-project app में users केवल email one-time password से login कर सकते थे
      security downside ज़रूर है, जैसे phishing में किसी fake site पर one-time password डलवा लेना, लेकिन क्योंकि वह app कोई sensitive चीज़ store नहीं करती थी, मुझे यह बड़ा security risk नहीं लगा
    • मेरे साथ ऐसा हुआ है कि मेरे पास पुराने phone number की access नहीं रही, और 2FA text message उसी नंबर पर जा रहा था, जिससे मुश्किल हुई
    • इसी वजह से बहुत सी services login के लिए email magic link की तरफ जा रही हैं
      आखिरकार, कई services में email पर control होना लगभग login पर control होने जैसा है

  • मैंने lifetime license सस्ते में खरीदा था, इसलिए कई सालों से Enpass इस्तेमाल कर रहा हूँ
    Enpass password sync के लिए अपनी cloud service host नहीं करता, बल्कि user cloud storage को authorize करे तो वहीं sync करता है। मैं Google Drive इस्तेमाल करता हूँ
    मुझे यह approach बेहतर लगती है। अगर कोई बुरा actor मेरे Google account में घुस जाए तो वैसे भी खेल खत्म है, और शायद password manager में घुसने से भी बदतर होगा
    साथ ही, यह एक ऐसी central jackpot data pile नहीं बनाता जिसे एक जगह breach करके सब मिल जाए। Enpass के सभी passwords चुराने के लिए Google Drive, Dropbox, iCloud वगैरह सबको hack करना होगा, फिर files को manually ढूँढना होगा

    • यह, मान लीजिए, KeePass से कैसे अलग है?

  • एक और breach की वजह से सामूहिक रूप से LastPass को कोसना, और यह कहना कि customer data तीसरे पक्ष को देना पूरी तरह गैर-जिम्मेदाराना है, मज़ेदार ज़रूर है, लेकिन अगर एक पल रुककर देखें कि वास्तव में हुआ क्या, तो दिमाग में बनी कहानी और हक़ीक़त काफ़ी अलग दिखती है
    Klue उन customer relationship management services में से एक है जिन्हें कई sales teams इस्तेमाल करती हैं। Customer contact email, finance team जैसी customer records देनी पड़ती हैं ताकि Klue उस customer के बारे में “market intelligence” जैसी चीज़ें दे सके
    अगर आप sales team के पास जाकर देखें कि उन्होंने अपने systems से क्या-क्या जोड़ रखा है, तो आपको ऐसी कई चीज़ें मिलेंगी
    यह अच्छा idea है या नहीं, उससे अलग, मुझे यह बहुत नापसंद है, लेकिन आजकल sales teams ऐसे ही काम करती हैं। अगर इसे छीनने की कोशिश करेंगे तो पूरी sales organization से लड़ना पड़ेगा
    बल्कि मुझे तो ज़्यादा हैरानी इस बात की है कि ऐसे breach और ज़्यादा बार नहीं होते
    LastPass का असली password database प्रभावित नहीं हुआ है
    मेरा किसी भी संबंधित organization से कोई संबंध नहीं है

    • I am more surprised that these breaches don't happen more often.
      असल में ये काफ़ी बार होते हैं

  • अब शायद LastPass के First0wned के नाम से rebrand होने का समय आ गया है

  • अगर कोई कंपनी vault leak होने के बाद भी LastPass का इस्तेमाल करती रही या नया अपनाया, तो इस बार की घटना को शायद सिर्फ CRM data मानकर बिल्कुल परवाह नहीं करेगी
    जो कंपनियाँ अब भी LastPass इस्तेमाल कर रही हैं, उनके लिए मुझे कुछ हद तक सहानुभूति है। जब मुझे एक organization को LastPass से 1Password पर migrate करना पड़ा था, तो वह बहुत बड़ा काम था और बेहद झंझटभरा भी
    लेकिन 2022 के बाद भी जिसने LastPass चुना, उसके लिए सहानुभूति रखना मुश्किल है

    • यहाँ कम गंभीर हिस्सा data की कम संवेदनशीलता है
      असली मुद्दा यह है कि LastPass को, चाहे बात कितनी भी मामूली क्यों न हो, इससे बेहतर करना चाहिए था
      password storage company होने के नाते भरोसे के लायक बनने के लिए उसे इस स्तर से बेहतर होना चाहिए

  • मैंने बहुत पहले LastPass छोड़कर BitWarden अपना लिया था, लेकिन अब ज़्यादातर Apple की Passwords app इस्तेमाल करता हूँ