"LastPass" تطلب من المستخدمين توخي الحذر
الوسط - المحرر التقني
نصحت خدمة إدارة كلمات المرور LastPass "لاست باس"، المملوكة لشركة LogMeIn المطورة لتطبيقات الاتصال بالحواسب عن بعد، المستخدمين لديها بتوخي الحذر وتجنب استعمال الإضافات التابعة لها على المتصفحات أثناء قيامها بتحديد وإصلاح ثغرة أمنية كبيرة في معماريتها، والتي يمكن أن تسمح للمهاجمين بسرقة كلمات السر أو تنفيذ تعليمات برمجية.
وجرى اكتشاف الثغرة من خلال الباحث الأمني تافيس أورماندي العامل لدى فريق غوغل، والذي عمد إلى نشر تغريدات عن المشكلة خلال عطلة نهاية الأسبوع، مع تحفظه عن النشر علناً حول كيفية استغلال الخلل، وأبلغ شركة إدارة كلمات المرور سحابياً عن الخلل.
وكتبت الشركة ضمن تحذيرها للمستخدمين "نحن نعمل الآن بنشاط كبير لمعالجة المشكلة، ويعتبر هذا الهجوم فريد ومتطور للغاية، ولا نريد أن نكشف عن أي شئ محدد يخص الضعف أو طريقة إصلاحنا بحيث يمكن أن تكشف عن أي شئ للأطراف المسيئة، لذلك يمكن للمستخدمين توقع نشرنا لتفاصيل أكثر بعد الإنتهاء من العمل".
وعمدت الشركة إلى نشر ثلاث خطوات تفصيلية يمكن للمستخدمين استعمالها للحفاظ على أمنهم، وهي تشغيل المواقع بشكل مباشر من خلال غرفة التخزين LastPass Vault واستعمال عامل التوثيق الثنائي والحذر من هجمات التصيد الاحتيالية.
وعمل أورماندي على تركيز جهوده البحثية فيما يخص LastPass كجزء من عمله ضمن فريق غوغل الأمني المكرس لإيجاد والإبلاغ عن العيوب والثغرات الامنية في منتجات الشركات الأخرى Project Zero، وكانت لاست باس قد أصدرت قبل أسبوع إصلاحاً لاثنتين من المشاكل الأمنية التي ذكرها الباحث الأمني.
وأوضحت الشركة حينذاك انها "تقدر العمل الذي يقوم به الباحث تافيس ومشروع Project Zero وغيره من الباحثين الأمنيين ذوي القبعات البيض، وأننا جميعاً نستفيد عندما يعمل مثل هذا النموذج الأمني من أجل الكشف عن الاخطاء بشكل مسؤوول، ونحن واثقون من أن LastPass تحظى باهتمام كبير".
ويوصي معظم خبراء أمن المعلومات باستعمال مدير لكلمات السر، وذلك على الرغم من إمكانية وجود بعض الأخطاء في مثل هذه المنتجات، حيث تعتبر قضية إعادة استعمال كلمة المرور قضية أمنية أكثر إلحاحاً من الاختراق الذي يستهدف برنامج مدير كلمات المرور.
وتحدث الخروقات الأمنية الخاصة ببيانات المستخدمين بشكل منتظم لعدم وجود ما يمنع من انتشار الضرر خارج الموقع المتضرر، وذلك لأن الغالبية العظمة من المستخدمين غير قادرين على تذكر ما يكفي من كلمات السر الفريدة من نوعها والقوية والتي يمكنها تغطية جميع المواقع والخدمات المستخدمة.