حول حادثة اختراق شركة LastPass

في السنة الماضية، تعرضت شركة إدارة كلمات المرور الشهيرة LastPass لعمليتي اختراق في أغسطس وأكتوبر، في الحالة الأولى، تم اختراق جهاز كمبيوتر لأحد المهندسين، ثم وصل المخترق لبيئة التطوير السحابية، وتم سرقة بعض المصادر البرمجية.
بعد أن اعتقدت الشركة أنها أغلقت هذه الحادثة، استفاد المخترق على ما يبدو من المعلومات التي حصل عليها، وقام باختراق كمبيوتر أحد المهندسين الكبار في الشركة، ووصل هذه المرة إلى ملفات النسخ الاحتياطي، بما في ذلك خزنة كلمات المرور المشفرة، الشركة تقول أن كلمات المرور مشفرة ولا يوجد مفتاح فك التشفير لديهم، لكن تسربت معلومات مثل عناوين البريد الإلكتروني، وغيرها من البيانات الحساسة، ولا نعرف إذا ما تمكن المخترق من فك تشفير خزنة كلمات المرور للعملاء أم لا.
الحقيقة أن أي عملية اختراق لأي شركة خصوصا إذا كانت تقنية، لها تأثير بالغ على سمعتها وأعمالها، بالأخص إذا أدى ذلك لتسريب بيانات. لكن الوضع بالنسبة لشركة إدارة كلمات المرور حسب اعتقادي كارثة كبيرة. لأن الخدمة أساسا تساعد على إدارة كلمات المرور للتقليل من خطر الاختراق، من خلال استخدام كلمات مرور فريدة وطويلة، وغير متكررة، دون الحاجة لتذكرها. فماذا إذا ما تعرضت هذه الخدمة ذاتها للاختراق. مؤكد أن المسألة حساسة جدا للمستخدمين ولشركات.
كيف تعاملت الشركة مع الحادثة؟
أرسلت الشركة لعملاءها تحديثات متكررة حول عملية الاختراق، والإجراءات التي اتخذتها للتعافي من الحادثة، مع تفاصيل البيانات التي تم تسريبها، والكثير من المعلومات القيمة.
الحق أن الشركة تعاملت بمهنية كبيرة مع الحادثة رغم صعوبتها، وحاولت قدر الإمكان نشر كل التفاصيل الممكنة، واختارت أفضل الخيارات بنشر كل التفاصيل للعملاء، بدلا من محاولة إخفاء أو التقليل من العملية، لأنه لو تسربت البيانات بطريقة ما، ستكون نهاية الشركة بلا شك.
في تصوري أن الشركة نجحت إلى حد ما في إدارة الأزمة، رغم البطء في التحديثات للمستخدمين. أيضا ربما تكون الشركة قد تساهلت في اتخاذ الإجراءات بعد اكتشاف الحادثة الأولى، مما أدى إلى الاختراق الثاني بعد شهرين، وهذا خطأ كبير، كان من المفترض أن يتوقعوا، أن المخترق حتما سيستفيد من البيانات التي حصل عليها.
على كل شركة أن تتوقع تعرضها للاختراق في أي وقت، الأهم أن تكون جاهزة للتعامل مع الأزمة بطريقة مهنية، وأن تكون لدى الشركات خطة للتعافي من الحوادث الأمنية بأقل قدر من الخسائر.
أنا لا أعرف مقدار التأثير الذي قد تتعرض له شركة LastPass من جراء الحادثة فهي صعبة على أي شركة، وأكثر صعوبة على شركة تعمل في مجال حساس جدا كإدارة كلمات المرور، لكن الشركة حسب رأيي نجحت في إدارة الأزمة بمهنية، وهذا يحسب لها.