جریمه 1.2 میلیون پوندی LastPass به دلیل نقض حریم خصوصی

جریمه 1.2 میلیون پوندی LastPass به دلیل نقض حریم خصوصی

۲۳ آذر, ۱۴۰۴ نویسنده: admin دسته: امنیت اطلاعات

شرکت LastPass با جریمه‌ی 1.2 میلیون پوند (معادل حدود 1.6 میلیون دلار) از سوی سازمان ناظر حفاظت از داده‌های انگلستان مواجه شده است. این جریمه به دلیل نقص‌های امنیتی‌ای صادر شد که منجر به یک نشت اطلاعات گسترده در سال 2022 گردید.

دفتر کمیسر اطلاعات (Information Commissioner’s Office – ICO) تشخیص داده‌است که ارائه‌دهنده مدیریت رمز عبور، مشتریان خود را با عدم اجرای اقدامات فنی و امنیتی کافی، دچار آسیب کرده است. نکته‌ی قابل توجه این است که هیچ نشانه‌ای مبنی بر اینکه هکرها قادر به رمزگشایی گذرواژه‌های کاربران بوده باشند، وجود ندارد؛ چراکه گذرواژه اصلی برای دسترسی به انبارهای رمز عبور در دستگاه‌های مشتریان ذخیره می‌شود.

با این حال، تخمین زده می‌شود که 1.6 میلیون کاربر تحت تأثیر این نشت اطلاعات قرار گرفته‌اند. اطلاعات شخصی شامل نام‌ها، آدرس ایمیل، شماره تلفن و URLهای وب‌سایت‌های ذخیره شده به نظر فاش شده است.

جان ادواردز، کمیسر اطلاعات گفت: «ما همچنان توصیه می‌کنیم که کسب‌وکارها و مصرف‌کنندگان از مدیریت رمز عبور برای بهبود مدیریت هویت و دسترسی (IAM) استفاده کنند. اما همانطور که این حادثه نشان داده است، شرکت‌هایی که چنین خدماتی را ارائه می‌دهند باید اطمینان حاصل کنند که دسترسی به سیستم و استفاده از آن محدود شده تا خطرات حمله به‌طور قابل‌توجهی کاهش یابد.»

او افزود: «مشتریان LastPass حق داشتند انتظار داشته باشند اطلاعات شخصی آن‌ها که به شرکت سپرده‌اند، امن و محافظت‌شده باقی بماند. با این حال، شرکت در برآورده کردن این انتظارات کوتاهی کرد و منجر به اعلام جریمه‌ی معناداری شد که امروز اعلام گردید.»

کریس لینل، مدیر ارشد حریم خصوصی داده‌ها در شرکت مشاوره Bridewell، به چندین نکته کلیدی اشاره کرد. او توضیح داد: «برای ارائه‌دهندگان خدمات، این یک یادآوری است که امنیت فقط و فقط مربوط به خود محصول نیست. شما نیاز به چارچوب‌های قوی امنیتی اطلاعات و حریم خصوصی دارید و نباید خطرات کمتر شناخته‌شده را نادیده بگیرید – از جمله پشتیبان‌گیری‌ها، پایگاه داده‌های ثانویه و سایر سیستم‌هایی که هکرها اغلب آن‌ها را هدف قرار می‌دهند.»

این نشت اطلاعات همچنین نشان می‌دهد چرا سیاست‌های استفاده قابل قبول اهمیت دارند. لینل افزود: «کارکنان باید در مورد آنچه مجاز یا ممنوع هستند، راهنمایی‌های روشنی داشته باشند. در این مورد، آسیب‌پذیری از طریق یک سرویس استریمینگ شخص ثالث – که تایید شده یا نشده بود – ایجاد شد و یادآور دیگری از میزان ریسکی است که در زنجیره تأمین وجود دارد. ما قبلاً شاهد چنین مواردی بوده‌ایم و این مسئله به زودی حل نخواهد شد.»

📌 توجه: این مطلب از منابع بین‌المللی ترجمه و بازنویسی شده است.