هجوم استهدف 20 مليون مستخدم.. ثغرات في منصة LastPass العالمية لإدارة كلمات المرور
تعرضت منصة LastPass المتخصصة في إدارة كلمات المرور، لهجوم أمني استهدف نحو 20 مليون مستخدم فردي و100 ألف شركة، حيث شملت البيانات المسربة الأسماء وعناوين البريد الإلكتروني وأرقام الهواتف وروابط المواقع المخزنة، وفق تقرير نشره موقع SlashGear.
ثغرات في منصة LastPass العالمية
ورغم أن نموذج التشفير المعروف باسم Zero Knowledge، منع فك شيفرة كلمات المرور نفسها، إلا أن الحادثة شكلت إنذارًا حادًا لكل من يعتمد على الخدمة أو يفكر باستخدامها، ودفع بعض المستخدمين لنقل بياناتهم إلى بدائل أخرى.
الغرامة والانتقادات
وفرض مكتب مفوض المعلومات في المملكة المتحدة غرامة على LastPass بقيمة 1.2 مليون جنيه إسترليني (نحو 1.6 مليون دولار)، وهو مبلغ وصفته مصادر بالمتواضع مقارنة بحجم الضرر، إذ يعادل أقل من دولار واحد لكل مستخدم متضرر داخل بريطانيا.
والمثير أن الاختراق لم يكن حدثًا منفردًا، بل نتيجة سلسلة إخفاقات أمنية، ففي المرة الأولى تمكن مهاجم من الوصول إلى جهاز عمل أحد موظفي الشركة والدخول إلى بيئة التطوير الداخلية، دون تسريب بيانات المستخدمين.
أما الحادثة الثانية فكانت أكثر خطورة، إذ استهدف المخترق موظفًا رفيع المستوى عبر ثغرة في خدمة بث خارجية، مستخدمًا برمجيات خبيثة لتجاوز المصادقة الثنائية والوصول إلى قاعدة بيانات النسخ الاحتياطية.
واعتبر خبراء أمن المعلومات أن ما حدث ليس نتيجة خطأ واحدًا، بل تراكم ثغرات أمنية سمحت بالوصول إلى بيانات حساسة، مما يضع LastPass أمام تحدٍ كبير لإعادة بناء بنيتها الأمنية بشكل كامل، وليس مجرد تحديثات سطحية.
ورغم أن كلمات المرور لم تُفك شيفرتها، إلا أن الحادثة أعادت طرح السؤال: هل يكفي التشفير وحده لضمان الثقة؟ بالنسبة لكثير من المستخدمين، الإجابة لم تعد بسيطة، وقد تدفعهم لإعادة التفكير قبل إسناد مفاتيح حياتهم الرقمية لأي خدمة، مهما كانت سمعتها أو تاريخها في السوق.
