এনক্রিপশন বিভ্রম
ডিসেম্বর २००२२ সালে, LastPass একটি লঙ্ঘন ঘোষণা করেছিল। অফিসিয়াল বিবৃতি আশ্বাসমূলক ভাষা অন্তর্ভুক্ত করেছিল: ব্যবহারকারীর পাসওয়ার্ড "এনক্রিপ্ট করা" ছিল। ভল্ট ডেটা "সুরক্ষিত" ছিল।
२००२५ সালের মধ্যে, LastPass ব্যবহারকারীদের থেকে $४३८ মিলিয়ন তাদের অনুমানিত এনক্রিপ্ট করা ভল্ট থেকে সরাসরি চুরি হয়েছে।
কিভাবে? LastPass চাবি ধরে রেখেছে।
এটি গুরুত্বপূর্ণ পার্থক্য যা প্রতিটি এন্টারপ্রাইজ নিরাপত্তা দল অবশ্যই বুঝতে হবে যেকোনো ক্লাউড-ভিত্তিক সরঞ্জাম নির্বাচন করার আগে যা সংবেদনশীল ডেটা পরিচালনা করে — PII গোপনীয়তা প্ল্যাটফর্ম সহ।
সার্ভার-সাইড এনক্রিপশন বনাম জিরো-নলেজ আর্কিটেকচার
বেশিরভাগ ক্লাউড সরঞ্জাম যা "আপনার ডেটা এনক্রিপ্ট করে" দাবি করে সার্ভার-সাইড এনক্রিপশন (SSE) ব্যবহার করে। এটি আসলে কী মানে:
| সম্পত্তি | সার্ভার-সাইড এনক্রিপশন | জিরো-নলেজ আর্কিটেকচার |
|---|---|---|
| এনক্রিপশন যেখানে ঘটে | বিক্রেতার সার্ভারে | আপনার ডিভাইসে (ব্রাউজার/ডেস্কটপ) |
| চাবি কে ধারণ করে | বিক্রেতা | শুধুমাত্র আপনি |
| বিক্রেতা আপনার ডেটা পড়তে পারে | হ্যাঁ | না |
| সার্ভার লঙ্ঘন ডেটা প্রকাশ করে | হ্যাঁ | না (শুধুমাত্র সাইফারটেক্সট) |
| বিক্রেতা ডেটা উৎপাদন করতে বাধ্য করা যায় | হ্যাঁ | না (তাদের কাছে নেই) |
| নিয়ন্ত্রক/আইন প্রয়োগ অ্যাক্সেস | বিক্রেতার মাধ্যমে | আপনার চাবি ছাড়া সম্ভব নয় |
LastPass সার্ভার-সাইড এনক্রিপশন ব্যবহার করেছিল তারা নিয়ন্ত্রণ করতেন এমন চাবি দিয়ে। যখন আক্রমণকারীরা তাদের অবকাঠামো লঙ্ঘন করেছিল, তারা সাইফারটেক্সট এবং অবশেষে ডিক্রিপ্ট করার মাধ্যম উভয় পেয়েছিল — কর্মচারী সামাজিক প্রকৌশল, দুর্বল মাস্টার পাসওয়ার্ড ব্রুট-ফোর্সিং এর মাধ্যমে।