اختراق LastPass يعيد فتح الجدل.. هل ما زالت مديرات كلمات المرور آمنة؟

تُعدّ مديرات كلمات المرور من أكثر الأدوات فاعلية في حماية الحسابات الرقمية، إذ تساعد المستخدمين على التخلص من فوضى تدوين كلمات المرور أو حفظها بطرق غير آمنة. غير أن هذه الثقة اهتزت بقوة بعد واحدة من أخطر حوادث الاختراق في تاريخ خدمة «LastPass»، ما أعاد إلى الواجهة سؤالًا جوهريًا حول مدى أمان هذه الأدوات.
تعرضت «LastPass» لاختراق أمني طال بيانات نحو 20 مليون مستخدم فردي وأكثر من 100 ألف شركة. ووفق تقرير لموقع SlashGear، شملت البيانات المسربة أسماء المستخدمين، وعناوين البريد الإلكتروني، وأرقام الهواتف، وروابط المواقع المخزنة داخل الخدمة. ورغم أن نموذج التشفير المعروف بـ«Zero Knowledge» حال دون فك تشفير كلمات المرور نفسها، فإن الحادثة شكّلت صدمة كبيرة للمستخدمين، ودفع بعضهم إلى البحث عن بدائل أكثر أمانًا.
في أعقاب الحادثة، فرض مكتب مفوض المعلومات في المملكة المتحدة غرامة على الشركة بلغت 1.2 مليون جنيه إسترليني، أي نحو 1.6 مليون دولار. إلا أن الغرامة وُصفت بالمتواضعة مقارنة بحجم الضرر، إذ تعادل أقل من دولار واحد لكل مليون مستخدم متضرر داخل بريطانيا وحدها، ما فتح باب الانتقادات حول فاعلية الردع القانوني في مثل هذه القضايا.
اللافت أن الاختراق لم يكن حادثة منفردة، بل جاء نتيجة سلسلة من الإخفاقات الأمنية. ففي الواقعة الأولى، تمكن مهاجم من اختراق جهاز عمل خاص بأحد موظفي الشركة والدخول إلى بيئة التطوير الداخلية من دون تسريب مباشر لبيانات المستخدمين. لكن المشهد تغيّر لاحقًا مع حادثة ثانية أكثر خطورة، استُهدف خلالها موظف رفيع المستوى عبر ثغرة معروفة في خدمة بث خارجية، ما أتاح للمخترق سرقة كلمة المرور، وتجاوز المصادقة الثنائية، ثم الوصول إلى قاعدة بيانات النسخ الاحتياطية.
ويرى خبراء أمن المعلومات أن ما حدث يعكس خللًا منهجيًا ناتجًا عن تراكم ثغرات أمنية، وليس خطأً فرديًا عابرًا. ومعالجة هذا النوع من الخلل، بحسب الخبراء، تتطلب إعادة بناء شاملة للبنية الأمنية بدل الاكتفاء بتحديثات تقنية محدودة. وتزداد التساؤلات مع الإشارة إلى أن الحادثة تعود إلى عام 2022، بينما لم تُفرض الغرامات إلا في ديسمبر 2025، ما يثير الشكوك حول حجم التحسينات الأمنية التي أُنجزت فعليًا خلال تلك الفترة.
ورغم أن كلمات المرور نفسها لم تُكشف، فإن الحادثة أعادت طرح سؤال أساسي حول مدى كفاية التشفير وحده لبناء الثقة. وبالنسبة لكثير من المستخدمين، أصبحت الإجابة أقل وضوحًا، وقد تدفعهم إلى إعادة التفكير قبل إسناد مفاتيح حياتهم الرقمية إلى أي خدمة، مهما كانت سمعتها أو تاريخها.