تفاصيل الاختراق: سلسلة من الإخفاقات الأمنية المترابطة
كشف التحقيق أن الهجوم لم يكن وليد اللحظة، بل نتج عن سلسلة من الثغرات الأمنية والإجراءات الدفاعية غير الكافية. بدأ الحادث عندما تمكن المتسللون من اختراق جهاز “ماك بوك برو” خاص بمطور برمجيات في الشركة في أوروبا، مما منحهم مدخلاً إلى بيئة التطوير الداخلية والوثائق الفنية الحساسة، وسرقة أكثر من عشرة مستودعات للبيانات. وبالرغم من عدم الوضوح حول كيفية إصابة هذا الجهاز تحديداً، إلا أن الإخفاق الأمني الأكبر حدث لاحقاً عندما استغل المهاجمون ثغرة أمنية معروفة (CVE-2020-5741) في برنامج “بلكس ميديا سيرفر” المثبت على جهاز حاسوب أحد مهندسي قسم العمليات والتطوير (DevOps)، مما مكنهم من تثبيت برنامج تسجيل ضربات المفاتيح (كيلوغر) وسرقة كلمة المرور الرئيسية لذلك المهندس. باستخدام هذه الكلمة الرئيسية، تمكن المتسللون في النهاية من اختراق بيئة التخزين السحابي للشركة، والوصول إلى جوهر الخدمة: خزائن كلمات مرور المستخدمين المشفرة.
تقييم الهيئة: إخفاق في الالتزام بالمسؤولية القانونية
وجدت هيئة مفوض المعلومات أن “لاست باس” قد أخفقت في تنفيذ تدابير فنية وتنظيمية قوية وكافية لحماية البيانات الشخصية للمستخدمين، كما هو مطلوب بموجب قانون حماية البيانات العام (GDPR) في المملكة المتحدة. شدد جون إدواردز، مفوض المعلومات في المملكة المتحدة، على أن “عملاء لاست باس كان لهم الحق في توقع أن تُحفظ المعلومات الشخصية التي عهدوا بها إلى الشركة بأمان وأمان. ومع ذلك، قصرت الشركة عن تلبية هذا التوقع”. وأكد أن الغرامة المالية المعلنة تتناسب مع خطورة الإخفاقات التي تم رصدها.
تأثير طويل المدى واستمرار المخاوف الأمنية
على الرغم من أن كلمات المرور داخل الخزائن كانت مشفرة، إلا أن هذا الحادث سلط الضوء على مخاطر بالغة تتجاوز السرقة المباشرة للبيانات. يظل الوصول إلى الخزائن المشفرة يشكل تهديداً كبيراً، حيث يمكن للمهاجمين محاولة فك تشفيرها باستخدام هجمات القوة الغاشمة، خاصة إذا كانت كلمات المرور الرئيسية للمستخدمين ضعيفة أو تم إعادة استخدامها في مواقع أخرى. كما أن سرقة البيانات الشخصية المصاحبة (كالعناوين الإلكترونية وأرقام الهواتف وأعنوان المنزل) تعرض المستخدمين لخطر متزايد من هجمات التصيد الاحتيالي والاحتيال المتطور. جاءت هذه الغرامة كتذكير قاسٍ لقطاع التكنولوجيا بأكمله، وخاصة الشركات التي تتعامل مع بيانات حساسة للغاية مثل كلمات المرور، بأن الثقة التي يمنحها المستخدمون لها يجب أن تقابل باستثمار حقيقي ومستمر في أعلى معايير الأمان السيبراني والامتثال التنظيمي.
