LastPass গত বছর ঘটে যাওয়া বেশ কয়েকটি নিরাপত্তা ঘটনার তদন্তে একটি আপডেট পোস্ট করেছে এবং সেগুলি আগের চিন্তার চেয়ে বেশি গুরুতর বলে মনে হচ্ছে। স্পষ্টতই, এই ঘটনাগুলির সাথে জড়িত খারাপ লোকেরা তৃতীয় পক্ষের মিডিয়া সফ্টওয়্যার প্যাকেজকে কাজে লাগিয়ে একটি কোম্পানি DevOps ইঞ্জিনিয়ারের হোম কম্পিউটারে অনুপ্রবেশ করেছিল। তারা সফ্টওয়্যারটিতে একটি কী-লগার স্থাপন করেছিল, যা তারা লাস্টপাস কর্পোরেট ভল্টে অ্যাক্সেস সহ একটি অ্যাকাউন্টের জন্য প্রযুক্তিবিদদের মাস্টার পাসওয়ার্ড রেকর্ড করতে ব্যবহার করেছিল। প্রবেশ করার পরে, তারা ক্লায়েন্ট ভল্ট ব্যাকআপ সহ ক্লাউড-ভিত্তিক অ্যামাজন S3 বালতি আনলক করার জন্য প্রয়োজনীয় ডিক্রিপশন কী ধারণকারী ভল্ট এন্ট্রি এবং ভাগ করা ফোল্ডারগুলি রপ্তানি করে।
LastPass’ গবেষণার এই সর্বশেষ আপডেটটি গত বছর যে দুটি নিরাপত্তা লঙ্ঘনের শিকার হয়েছিল তা কীভাবে সম্পর্কিত ছিল তার একটি পরিষ্কার চিত্র আমাদের দেয়। আপনি যদি মনে করেন, LastPass 2022 সালের আগস্টে প্রকাশ করেছে যে একটি “অননুমোদিত দল” তার সিস্টেমে অ্যাক্সেস পেয়েছে। যদিও প্রথম ঘটনাটি 12 আগস্ট শেষ হয়েছিল, কোম্পানিটি তার নতুন ঘোষণায় বলেছে যে হুমকি অভিনেতারা “12 আগস্ট, 2022 থেকে ক্লাউড স্টোরেজ পরিবেশের সাথে উপযোগী একটি নতুন সংকলন, গণনা এবং বহিষ্কার কার্যক্রমে সক্রিয়ভাবে নিযুক্ত ছিল। 26 অক্টোবর, 2022।”
যখন কোম্পানিটি ডিসেম্বরে দ্বিতীয় নিরাপত্তা লঙ্ঘনের ঘোষণা করেছিল, তখন এটি বলেছিল যে আক্রমণকারীরা ক্লাউড পরিষেবাতে অ্যাক্সেস পেতে প্রথম ঘটনার তথ্য ব্যবহার করেছিল। এটি আরও স্বীকার করেছে যে হ্যাকাররা অ্যামাজন S3 বালতি সহ অনেক সংবেদনশীল তথ্য দিয়ে তৈরি করেছে। এই বালতিতে সংরক্ষিত ডেটা অ্যাক্সেস করার জন্য, হ্যাকারদের “লাস্টপাস পাসওয়ার্ড ম্যানেজার ভল্টে শেয়ার করা ফোল্ডারগুলির খুব সীমিত সেট” এ সংরক্ষিত ডিক্রিপশন কীগুলির প্রয়োজন। তাই আক্রমণকারীরা চারটি DevOps ইঞ্জিনিয়ারদের একজনকে টার্গেট করেছিল যাদের কোম্পানির ক্লাউড স্টোরেজ আনলক করার জন্য প্রয়োজনীয় কীগুলিতে অ্যাক্সেস ছিল।
একটি সমর্থন নথিতে (পিডিএফ), কোম্পানি (এর মাধ্যমে বিপিং কম্পিউটার), এটি সেই ডেটা বর্ণনা করে যে দুটি ঘটনার সময় হুমকি অভিনেতাদের অ্যাক্সেস ছিল। স্পষ্টতই, দ্বিতীয় লঙ্ঘনের সময় অ্যাক্সেস করা ক্লাউড-ভিত্তিক ব্যাকআপগুলিতে “এপিআই গোপনীয়তা, তৃতীয় পক্ষের একীকরণ গোপনীয়তা, গ্রাহক মেটাডেটা এবং সমস্ত গ্রাহক ভল্ট ডেটার ব্যাকআপ ছিল।” কোম্পানি জোর দিয়েছিল যে সমস্ত সংবেদনশীল গ্রাহক ভল্ট ডেটা, কয়েকটি ব্যতিক্রম সহ, “কেবলমাত্র প্রতিটি ব্যবহারকারীর মাস্টার পাসওয়ার্ড থেকে প্রাপ্ত একটি অনন্য এনক্রিপশন কী দিয়ে ডিক্রিপ্ট করা যেতে পারে।” কোম্পানি যোগ করেছে যে এটি ব্যবহারকারীদের মাস্টার পাসওয়ার্ড সংরক্ষণ করে না। LastPass আরও বিশদ পদক্ষেপগুলি এগিয়ে নিয়ে যাওয়ার জন্য তার প্রতিরক্ষাকে শক্তিশালী করার জন্য নিচ্ছে, যার মধ্যে হুমকি সনাক্তকরণ পর্যালোচনা করা এবং “মাল্টি-মিলিয়ন ডলার বরাদ্দ করা [its] মানুষ, প্রক্রিয়া এবং প্রযুক্তির নিরাপত্তায় বিনিয়োগ।”
Engadget দ্বারা সুপারিশকৃত সমস্ত পণ্য আমাদের মূল কোম্পানি থেকে স্বাধীন, আমাদের সম্পাদকীয় দল দ্বারা নির্বাচিত হয়। আমাদের কিছু গল্পে অ্যাফিলিয়েট লিঙ্ক রয়েছে। আপনি যদি এই লিঙ্কগুলির মধ্যে একটির মাধ্যমে কিছু ক্রয় করেন, তাহলে আমরা একটি অধিভুক্ত কমিশন উপার্জন করতে পারি। সকল মূল্য প্রকাশের সময় সঠিক।