Ünlü şifre yönetimi hizmeti LastPass, az önce duyuruldu son zamanlarda hacklendi. Özellikle, şirketin CEO’su Karim Toubba, “yetkisiz bir üçüncü tarafın, güvenliği ihlal edilmiş bir geliştirici hesabı aracılığıyla LastPass geliştirme ortamının bölümlerine erişim elde ettiğini” yazdı.
Bu, şifre yöneticisinin güvenlik sorunları yaşadığı ilk sefer değil. 2021 yılında bazı kullanıcıların LastPass ana şifrelerinin açığa çıkmış olabileceği ortaya çıktı. LastPass, hack olmadığını söyledi. Ancak, bilinmeyen bir kişinin hesaplarına giriş yapmaya çalıştığını bildiren e-postalar alan kullanıcılar ikna olmadılar. LastPass daha sonra bunun yalnızca bir kimlik bilgisi doldurma saldırısının sonucu olduğu konusunda ısrar etti.
Yinelenen güvenlik sorunları
2020’de LastPass büyük bir kesinti yaşadı ve kullanıcılar hesaplarına giriş yapamadıklarını veya şifrelerini otomatik olarak dolduramadıklarını bildirdi. 2019’da, güvenlik araştırmacıları tarafından büyük bir LastPass güvenlik sorunu da keşfedildi.
Bu sorunların hiçbiri kendi başına çok ciddi değildir. Evet, bir geliştiricinin hesabının saldırıya uğraması korkunç bir şey ama oluyor. Bununla birlikte, iddia edilen 20 milyon müşterisi olan en büyük şifre yöneticisi şirketinin önemli ve tekrarlayan güvenlik sorunlarına sahip olması hala endişe vericidir.
Kesinlikle, Bay Toubba’nın iddia ettiği gibi, bu haftaki saldırıda “bu olayın müşteri verilerine veya şifre kasalarına erişim içerdiğine dair hiçbir kanıt görmedik.” Ancak kaynak kodun bir kısmı açığa çıkarken ve teknik sırlar sızdırıldığında, kullanıcıların şifrelerini ortaya çıkarabilecek yeni bir saldırı olasılığı dikkate alınmalıdır.
içsel kırılganlık
Bu, tescilli kodla oluşturulmuş yazılımın kırılganlığının bir başka örneğidir. Bitwarden gibi açık kaynak tabanlı şifre yöneticilerinin kodları bağımsız uzmanlar tarafından doğrulanır. Bu, potansiyel güvenlik zayıflıklarının güvenlik açıkları haline gelmeden önce tespit edilmesini sağlar.
Ancak LastPass boş durmadı. Şirket, olanları araştırmak için “önde gelen bir siber güvenlik ve soruşturma firmasıyla angaje oldu”. Şirket ayrıca gelişmiş güvenlik önlemleri uygulamıştır. “İzinsiz faaliyete dair başka bir kanıt” görmediler.
Ama benim açımdan, hala değerli bir çaba olsa bile, çok az ve çok geç. Verilmiş, LastPass hala iyi bir şifre yöneticisidir. Ancak yeni bir yazılım arıyorsanız, kimse sizi suçlamaz.
Kaynak : “ZDNet.com”