Şifre yönetimi çözümü LastPass, geçtiğimiz ay güvenlik olayıyla ilgili daha fazla ayrıntı paylaşarak, tehdit aktörünün Ağustos 2022’de dört günlük bir süre boyunca sistemlerine erişimi olduğunu açıklamıştı.

LastPass CEO’su Karim Toubba, “Belirlenen zaman çizelgesinin ötesinde herhangi bir tehdit aktörü faaliyetine dair bir kanıt yok.” söz konusu 15 Eylül’de paylaşılan bir güncellemede, “Bu olayın müşteri verilerine veya şifreli parola kasalarına herhangi bir erişim içerdiğine dair bir kanıt yok.”

Ağustos ayının sonlarında LastPass, geliştirme ortamını hedef alan bir ihlalin, kaynak kodunun ve teknik bilgilerinin bir kısmının çalınmasıyla sonuçlandığını ortaya çıkardı, ancak daha fazla ayrıntı sunulmadı.

Olay müdahale firması Mandiant ile ortaklaşa hack soruşturmasını tamamladığını söyleyen şirket, erişimin bir geliştiricinin güvenliği ihlal edilmiş uç noktası kullanılarak sağlandığını söyledi.

İlk girişin kesin yöntemi “sonuçsuz” kalırken, LastPass, kurbanın kimliği çok faktörlü kimlik doğrulama kullanılarak doğrulandıktan sonra, saldırganın “geliştiricinin kimliğine bürünmek” için kalıcı erişimi kötüye kullandığını kaydetti.

Şirket, yetkisiz erişime rağmen, sistem tasarımı ve bu tür olayları önlemek için uygulanan sıfır güven kontrolleri nedeniyle saldırganın hassas müşteri verilerini elde edemediğini yineledi.

Bu, geliştirme ve üretim ortamlarının tamamen ayrılmasını ve kullanıcılar tarafından belirlenen ana parola olmadan müşterilerin parola kasalarına erişememesini içerir.

Toubba, “Ana parola olmadan, kasanın sahibi dışında hiç kimsenin kasa verilerinin şifresini çözmesi mümkün değildir” dedi.

Ek olarak, herhangi bir zehirlenme belirtisi aramak için kaynak kodu bütünlüğü kontrolleri yaptığını ve geliştiricilerin kaynak kodunu doğrudan geliştirme ortamından üretime göndermek için gerekli izinlere sahip olmadığını söyledi.

Son olarak LastPass, kaynak kodu güvenlik uygulamalarını geliştirmek için “lider” bir siber güvenlik firmasının hizmetlerini kullandığını ve sistemlerine yönelik saldırıları daha iyi tespit etmek ve önlemek için ek uç nokta güvenlik korkulukları yerleştirdiğini kaydetti.



siber-2