خبرني - تُعد مديرات كلمات المرور من أكثر الأدوات أمانًا وفاعلية لحماية الحسابات الرقمية، إذ تخلص المستخدم من فوضى تدوين كلمات المرور على أوراق لاصقة أو حفظها في ملفات غير آمنة.
لكن ماذا يحدث عندما تتعرض هذه الأدوات نفسها لاختراق أمني؟ وهل يمكن استعادة الثقة بها مجددًا؟
هذا هو السؤال الذي يواجهه اليوم ملايين مستخدمي "LastPass"، بعد واحدة من أخطر حوادث الاختراق في تاريخ الشركة، طالت بيانات شخصية لمستخدمين أفراد وشركات، وأعادت فتح النقاش حول مدى أمان مديري كلمات المرور.
اختراق يهز الثقة
تعرضت "LastPass" لاختراق أمني طال جزءًا من بيانات ما يقرب من 20 مليون مستخدم فردي و100 ألف شركة.
وشملت البيانات المسربة الأسماء، وعناوين البريد الإلكتروني، وأرقام الهواتف، وروابط المواقع المخزنة داخل الخدمة، بحسب تقرير نشره موقع "slashgear" واطلعت عليه "العربية Business".
ورغم أن نموذج التشفير المعروف باسم "Zero Knowledge" حال دون فك تشفير كلمات المرور نفسها، فإن الحادثة اعتُبرت إنذارًا جديًا لكل من يعتمد على "LastPass" أو يفكر في استخدامه، بل ودافعًا لبعض المستخدمين لنقل بياناتهم إلى بدائل أخرى.
غرامة محدودة وانتقادات واسعة
مكتب مفوض المعلومات في المملكة المتحدة فرض غرامة على "LastPass" بقيمة 1.2 مليون جنيه إسترليني (نحو 1.6 مليون دولار)، وهي غرامة وُصفت بالمتواضعة مقارنة بحجم الضرر، إذ تعادل أقل من دولار واحد لكل أكثر من مليون مستخدم متضرر داخل بريطانيا وحدها.
حادثتان وليس واحدة
الأخطر أن الاختراق لم يكن حادثة واحدة، بل سلسلة من الإخفاقات الأمنية.
ففي المرة الأولى، تمكن مهاجم من الوصول إلى حاسوب عمل خاص بأحد موظفي "LastPass"، والدخول إلى بيئة التطوير الداخلية، من دون تسريب بيانات المستخدمين آنذاك.
لكن الوضع تغيّر في الحادثة الثانية، حين استهدف المخترق موظفًا رفيع المستوى عبر ثغرة معروفة في خدمة بث خارجية.
واستخدم المهاجم برمجيات خبيثة لسرقة كلمة المرور، وتجاوز المصادقة الثنائية، ثم الوصول إلى قاعدة بيانات النسخ الاحتياطية.
خلل منهجي لا حادث عابر
خبراء أمن المعلومات أكدوا أن ما حدث لم يكن نتيجة خطأ واحد كارثي، بل تراكم ثغرات أمنية سمحت في النهاية بالوصول إلى بيانات حساسة.
وهو ما يضع "LastPass" أمام تحدٍ أكبر، إذ إن معالجة الخلل المنهجي تتطلب إعادة بناء شاملة للبنية الأمنية، وليس مجرد تحديثات سريعة.
ومع أن الحادثة تعود إلى عام 2022، فإن الغرامات لم تُفرض إلا في ديسمبر 2025، ما يثير تساؤلات حول حجم التحسينات الأمنية التي أُنجزت فعليًا خلال تلك الفترة.
هل ما زالت "LastPass" خيارًا آمنًا؟
رغم أن كلمات المرور نفسها لم تُفك شيفرتها، فإن الحادثة أعادت طرح سؤال جوهري: هل يكفي التشفير وحده لبناء الثقة؟ بالنسبة لكثير من المستخدمين، باتت الإجابة أكثر تعقيدًا، وقد تدفعهم للتفكير مرتين قبل إسناد مفاتيح حياتهم الرقمية إلى أي خدمة، مهما كانت سمعتها.
