مديرو كلمات المرور

شرح اختراق LastPass لعام 2022: ما الذي سُرق، وماذا يعني، وكيفية الانتقال إلى بديل

في أغسطس / نوفمبر 2022، سرّب المهاجمون نسخ LastPass الاحتياطية السحابية المتضمّنة خزائن المستخدمين المشفّرة إضافة إلى بيانات وصفية غير مشفّرة. إليك ما هو موثّق وما الذي يجب فعله الآن إن كان لا يزال لديك حساب LastPass.

By Subger Editorial TeamUpdated 30 أبريل 20267 min read

الجدول الزمني الموثّق

وفقاً لإشعارات الحوادث المنشورة من LastPass: في أغسطس 2022، اخترق المهاجمون جهاز أحد مطوّري LastPass ووصلوا إلى الشيفرة المصدرية. وفي نوفمبر 2022، استخدم المهاجمون بيانات اعتماد من حادثة أغسطس للوصول إلى النسخ الاحتياطية السحابية في التخزين السحابي الخارجي الخاص بـ LastPass. احتوت تلك النسخ الاحتياطية على خزائن العملاء المشفّرة إضافة إلى بيانات وصفية غير مشفّرة — عناوين URL للخزائن وعناوين البريد الإلكتروني للحسابات ومعلومات الفوترة. أعلنت LastPass عن سرقة البيانات في 22 ديسمبر 2022 (blog.lastpass.com/posts/notice-of-recent-security-incident).

ما الذي يحميه التشفير فعلياً

تُشفَّر خزائن LastPass باستخدام AES-256، ويُشتقّ المفتاح من كلمة المرور الرئيسية عبر PBKDF2. تعتمد قوة الحماية على (أ) إنتروبيا كلمة المرور الرئيسية و(ب) عدد تكرارات PBKDF2. كان عدد تكرارات PBKDF2 الافتراضي لدى LastPass هو 5,000 للحسابات القديمة قبل أن يُرفع إلى 100,100 في عام 2018. وقد تظل الحسابات المنشأة قبل 2018 ذات أعداد تكرارات منخفضة ما لم يقم المستخدم بالترقية يدوياً — وتوثّق إشعارات حوادث LastPass ذلك. كلمة مرور رئيسية ضعيفة بعدد تكرارات منخفض قابلة للكسر بالقوة الغاشمة دون اتصال؛ أما كلمة مرور رئيسية قوية مع 100,100 تكرار فأكثر فليست كذلك، بالعتاد الحالي.

ما الذي يجب فعله إن كان لديك حساب LastPass أو كان لديك سابقاً

الخطوة 1: صدّر خزنة LastPass الخاصة بك من وحدة التحكم على الويب (الإعدادات → الخيارات المتقدمة → تصدير). الخطوة 2: استورد إلى Bitwarden أو 1Password (لدى كليهما أدوات استيراد مباشرة من LastPass موثّقة على bitwarden.com/help/import-from-lastpass و1password.com/help). الخطوة 3: غيّر كلمات المرور لأي حساب ذي تكلفة إفشاء عالية — المالية والبريد الإلكتروني ووسائل التواصل الاجتماعي الأساسية. الخطوة 4: فعّل المصادقة الثنائية 2FA على أي حساب يدعمها. الخطوة 5: احذف حساب LastPass من وحدة التحكم على الويب. إن كانت كلمة مرورك الرئيسية قوية (12 حرفاً عشوائياً فأكثر أو عبارة مرور من 6 كلمات فأكثر)، فإن الخزنة المشفّرة آمنة حسابياً؛ والتغيير إجراء احترازي. وإن كانت كلمة مرورك الرئيسية ضعيفة، فعامِل الحسابات عالية القيمة على أنها مخترقة.

لماذا أثّر الاختراق في فئة مديري كلمات المرور بأكملها، لا في LastPass وحدها

دفع اختراق LastPass الباحثين الأمنيين إلى النظر بمزيد من التدقيق في الخيارات المعمارية عبر الفئة بأكملها. هناك درسان محددان: (1) أعداد تكرارات التشفير ليست متساوية جميعها — فالفرق بين 5,000 و100,100 تكرار لـ PBKDF2 كبير. أما Argon2id (دالة KDF الحديثة التي يستخدمها Bitwarden وغيره) فأقوى بشكل ملموس مرة أخرى. (2) كشف البيانات الوصفية (عناوين URL للحسابات وعناوين البريد الإلكتروني) ضرر حقيقي للخصوصية حتى عندما تظل محتويات الخزنة مشفّرة، لأن البيانات الوصفية تساعد المهاجم على ترتيب أولويات أهدافه. تحدّ المديرون الحديثون المُدقَّقون من البيانات الوصفية في طبقة البيانات الساكنة.

المصادر

إشعارات الحوادث الرسمية من LastPass: blog.lastpass.com/posts/notice-of-recent-security-incident. أداة استيراد LastPass في Bitwarden: bitwarden.com/help/import-from-lastpass. مساعدة 1Password: 1password.com/help. Argon2id: password-hashing.net/argon2-specs.pdf. جرى الوصول إلى جميع الروابط بتاريخ 2026-04-30.