LastPass डेटा ब्रीच कैसे हुआ और इससे कैसे बचें?

यह पेज अपने-आप अनुवादित किया गया है। मूल अंग्रेज़ी संस्करण पढ़ें यहाँ.

Enterprise Passkey व्हाइटपेपर. passkey कार्यक्रमों के लिए व्यावहारिक मार्गदर्शन, रोलआउट पैटर्न और KPIs।

2022-2023 का LastPass डेटा ब्रीच एक अनुस्मारक के रूप में कार्य करता है कि कैसे परिष्कृत साइबर हमले दीर्घकालिक सुरक्षा आपदाओं में बदल सकते हैं। यह व्यापक विश्लेषण घटना, इसके प्रभाव और उन संगठनों के लिए महत्वपूर्ण सबक को तोड़ता है जो अपनी सुरक्षा स्थिति को मजबूत करना चाहते हैं।

हाल के लेख

प्रभाव: संख्या के आधार पर#

ब्रीच के परिणाम गंभीर और लंबे समय तक चलने वाले रहे हैं:

33 मिलियन प्रभावित उपयोगकर्ता
25+ पीड़ितों से 4.4 मिलियन डॉलर (USD) चोरी
एक ही सप्ताह में कथित तौर पर 5 मिलियन डॉलर चोरी
क्रिप्टोकरेंसी में 15 मिलियन डॉलर की चोरी

मुख्य बातें#

एक समझौता किए गए डेवलपर अकाउंट के कारण 33 मिलियन LastPass उपयोगकर्ता प्रभावित हुए
हमलावरों ने एन्क्रिप्टेड पासवर्ड वॉल्ट और कस्टमर जानकारी तक पहुँच प्राप्त की
इस ब्रीच से जुड़ी क्रिप्टोकरेंसी चोरी में 15 मिलियन डॉलर से अधिक की चोरी हुई है
इस घटना ने रिमोट वर्क सुरक्षा और घटना प्रतिक्रिया में महत्वपूर्ण कमजोरियों को उजागर किया

प्रारंभिक समझौता - अगस्त 2022#

ब्रीच तब शुरू हुआ जब हमलावरों ने एक समझौता किए गए डेवलपर अकाउंट के माध्यम से LastPass के डेवलपमेंट एनवायरनमेंट तक अनधिकृत पहुँच प्राप्त की। इस स्तर पर, हमलावरों ने प्राप्त किया:

LastPass सोर्स कोड के हिस्से
मालिकाना तकनीकी जानकारी
डेवलपमेंट एनवायरनमेंट संसाधनों तक पहुँच

पासकीज़ महत्वपूर्ण क्यों हैं?

एंटरप्राइज़ेज़ के लिए पासकीज़

पासवर्ड और फ़िशिंग एंटरप्राइज़ेज़ को जोखिम में डालते हैं। पासकीज़ एकमात्र MFA समाधान प्रदान करती हैं जो सुरक्षा और UX को संतुलित करता है। हमारा व्हाइटपेपर कार्यान्वयन और व्यावसायिक प्रभाव को कवर करता है।

मुफ्त व्हाइटपेपर डाउनलोड करें

वृद्धि - नवंबर/दिसंबर 2022#

शुरुआत में जो नियंत्रण में लग रहा था वह तेजी से बढ़ गया जब हमलावरों ने चुराई गई जानकारी का उपयोग निम्न के लिए किया:

LastPass की थर्ड-पार्टी क्लाउड स्टोरेज सर्विस तक पहुँच प्राप्त करने
कस्टमर वॉल्ट डेटा की बैकअप प्रतियाँ प्राप्त करने
अनएन्क्रिप्टेड कस्टमर अकाउंट जानकारी से समझौता करने

Latest news के लिए हमारे Passkeys Substack को subscribe करें.

Subscribe करें

महत्वपूर्ण विकास - मार्च 2023#

एक खुलासा करने वाले अपडेट में, LastPass ने बताया कि हमलावरों ने:

एक सीनियर DevOps इंजीनियर के घरेलू कंप्यूटर से समझौता किया था
थर्ड-पार्टी मीडिया सॉफ़्टवेयर में एक भेद्यता का फायदा उठाया
मास्टर पासवर्ड कैप्चर करने के लिए कीलॉगर मैलवेयर तैनात किया
महत्वपूर्ण डिक्रिप्शन कुंजियों तक पहुँच प्राप्त की

किस डेटा से समझौता किया गया था?#

कस्टमर जानकारी#

कंपनी का नाम
एंड-यूज़र नाम
बिलिंग पते
ईमेल पते
टेलीफोन नंबर
IP पते

तकनीकी डेटा#

कस्टमर वॉल्ट बैकअप
DevOps सीक्रेट्स
क्लाउड-आधारित बैकअप स्टोरेज
MFA/Federation Database बैकअप

Igor Gjorgjioski

Head of Digital Channels & Platform Enablement, VicRoads

We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.

See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.

Read the case study

संगठनों के लिए आवश्यक सुरक्षा सबक#

1. मजबूत नेटवर्क विभाजन लागू करें#

महत्वपूर्ण सिस्टम और डेटा को अलग करें
विभिन्न पहुँच स्तरों के साथ सुरक्षा क्षेत्र बनाएँ
खंडों के बीच सख्त एक्सेस कंट्रोल लागू करें
नेटवर्क खंडों के बीच ट्रैफ़िक की निगरानी करें

2. रिमोट वर्क सुरक्षा मजबूत करें#

घर से काम करने वाले डिवाइस के लिए स्पष्ट नीतियां स्थापित करें
कार्य डिवाइस पर व्यक्तिगत सॉफ़्टवेयर इंस्टॉलेशन को प्रतिबंधित करें
मजबूत एंडपॉइंट सुरक्षा लागू करें
रिमोट वर्क सेटअप का नियमित सुरक्षा ऑडिट करें

3. घटना प्रतिक्रिया और संचार में सुधार करें#

स्पष्ट घटना प्रतिक्रिया प्रक्रियाएं विकसित करें
हितधारकों के साथ पारदर्शी संचार बनाए रखें
सुरक्षा घटनाओं का दस्तावेजीकरण और तुरंत अपडेट करें
चल रही घटनाओं के दौरान नियमित अपडेट प्रदान करें

4. उन्नत पासवर्ड और एक्सेस मैनेजमेंट#

सभी सिस्टम में मल्टी-फैक्टर ऑथेंटिकेशन लागू करें
प्रत्येक अकाउंट के लिए मजबूत, अद्वितीय पासवर्ड की आवश्यकता है
नियमित पासवर्ड रोटेशन और सुरक्षा ऑडिट करें
मजबूत सुरक्षा सुविधाओं वाले पासवर्ड मैनेजर्स का उपयोग करें

संगठनों के लिए निवारक उपाय#

1. तकनीकी नियंत्रण#

ज़ीरो-ट्रस्ट आर्किटेक्चर लागू करें
उन्नत एंडपॉइंट सुरक्षा तैनात करें
नियमित सुरक्षा मूल्यांकन और पेनेट्रेशन परीक्षण करें
निरंतर निगरानी और लॉगिंग

2. प्रशासनिक नियंत्रण#

कर्मचारियों के लिए नियमित सुरक्षा प्रशिक्षण
स्पष्ट सुरक्षा नीतियां और प्रक्रियाएं
वेंडर जोखिम प्रबंधन
घटना प्रतिक्रिया योजना

निष्कर्ष#

LastPass डेटा ब्रीच व्यापक सुरक्षा उपायों और उचित घटना प्रतिक्रिया के महत्व में एक महत्वपूर्ण सबक के रूप में कार्य करता है। संभावित उल्लंघनों की तैयारी करते समय संगठनों को सुरक्षा के लिए एक सक्रिय दृष्टिकोण अपनाना चाहिए, सुरक्षा की कई परतों को लागू करना चाहिए। इस घटना से सीखकर, कंपनियां अपनी संपत्तियों की बेहतर सुरक्षा कर सकती हैं और अपने कस्टमर्स के साथ विश्वास बनाए रख सकती हैं।

Corbado के बारे में

Corbado बड़े पैमाने पर consumer authentication चलाने वाली CIAM टीमों के लिए Passkey Intelligence Platform है। हम आपको वह दिखाते हैं जो IDP logs और सामान्य analytics tools नहीं दिखा सकते: कौन-से devices, OS versions, browsers और credential managers passkeys को support करते हैं, क्यों enrollments login में नहीं बदलते, WebAuthn flow कहाँ fail होता है, और कब कोई OS या browser update चुपचाप login को तोड़ देता है — और यह सब Okta, Auth0, Ping, Cognito या आपके in-house IDP को बदले बिना। दो products: Corbado Observe जोड़ता है passkeys और किसी भी अन्य login method के लिए observability। Corbado Connect देता है analytics के साथ built-in managed passkeys (आपके IDP के साथ-साथ)। VicRoads, Corbado के साथ 5M+ users के लिए passkeys चला रहा है (+80% passkey activation)। Passkey विशेषज्ञ से बात करें →

अक्सर पूछे जाने वाले प्रश्न#

LastPass ब्रीच में हमलावरों ने डेवलपर अकाउंट से कस्टमर वॉल्ट तक कैसे पहुँच प्राप्त की?#

हमलावरों ने अगस्त 2022 में LastPass के डेवलपमेंट एनवायरनमेंट से चुराए गए सोर्स कोड और तकनीकी जानकारी का उपयोग करके एक थर्ड-पार्टी क्लाउड स्टोरेज सर्विस तक पहुँच प्राप्त की, जिसमें कस्टमर वॉल्ट बैकअप थे। यह बहु-चरणीय वृद्धि 2023 की शुरुआत में इसके पूर्ण दायरे का खुलासा होने से पहले कई महीनों तक सामने आई।

ब्रीच के बाद भी LastPass एन्क्रिप्टेड वॉल्ट्स को जोखिम में क्यों माना गया?#

हमलावरों ने एक सीनियर DevOps इंजीनियर के घरेलू कंप्यूटर पर कीलॉगर तैनात करके एन्क्रिप्टेड वॉल्ट बैकअप और महत्वपूर्ण रूप से डिक्रिप्शन कुंजियाँ दोनों प्राप्त कर लीं। डिक्रिप्शन कुंजियों के साथ-साथ मास्टर पासवर्ड कैप्चर करने का मतलब था कि अकेले एन्क्रिप्शन कस्टमर डेटा को पूरी तरह से सुरक्षित नहीं कर सकता।

रिमोट वर्क सुरक्षा की किन कमियों ने LastPass ब्रीच को और खराब कर दिया?#

एक सीनियर DevOps इंजीनियर का निजी घरेलू कंप्यूटर थर्ड-पार्टी मीडिया सॉफ़्टवेयर में एक भेद्यता के माध्यम से समझौता किया गया था, एक ऐसा जोखिम जिसे रोकने के लिए रिमोट वर्क डिवाइस के लिए मजबूत एंडपॉइंट सुरक्षा नीतियां बनाई गई हैं। व्यक्तिगत सॉफ़्टवेयर इंस्टॉलेशन को प्रतिबंधित करना और घरेलू सेटअप के सुरक्षा ऑडिट को लागू करना प्रमुख बचाव हैं।

2022-2023 के LastPass ब्रीच में किस प्रकार का विशिष्ट डेटा एक्सपोज़ हुआ था?#

एक्सपोज़ किया गया डेटा दो श्रेणियों में फैला हुआ था: कस्टमर जानकारी जिसमें नाम, बिलिंग पते, ईमेल पते, फोन नंबर और IP पते शामिल हैं, साथ ही तकनीकी डेटा जिसमें कस्टमर वॉल्ट बैकअप, DevOps सीक्रेट्स, क्लाउड-आधारित बैकअप स्टोरेज और MFA/Federation Database बैकअप शामिल हैं। व्यक्तिगत और इन्फ्रास्ट्रक्चर डेटा के इस संयोजन ने ब्रीच को विशेष रूप से हानिकारक बना दिया।