İki hafta önceParola yöneticisi devi LastPass, sistemlerinin bu yıl ikinci kez güvenliğinin ihlal edildiğini açıkladı.

Ağustos ayında, LastPass bulundu LastPass’ın kaynak kodunun bir kısmını depolayan şirketin geliştirme ortamına yetkisiz erişim elde etmek için bir çalışanın iş hesabının ele geçirildiği. LastPass CEO’su Karim Toubba, bilgisayar korsanının faaliyetlerinin sınırlı ve kontrol altında olduğunu söyledi ve müşterilere yapmaları gereken herhangi bir işlem olmadığını söyledi.

Kasım ayının sonuna kadar hızlı ilerleyin ve LastPass, birincisiyle ilgili olduğunu söylediği ikinci bir uzlaşmayı doğruladı. Bu sefer, LastPass o kadar şanslı değildi. Davetsiz misafir, müşteri bilgilerine erişim elde etmişti.

Kısa bir blog gönderisinde Toubba, Ağustos olayında elde edilen bilgilerin, LastPass’ın müşteri verilerini depolamak için kullandığı bir üçüncü taraf bulut depolama hizmetine ve ayrıca LogMeIn ve GoToMyPC’nin de sahibi olan ana şirketi GoTo’nun müşteri verilerine erişmek için kullanıldığını söyledi. .

Ancak o zamandan beri, CEO’su Paddy Srinivasan’ın yayınladığı LastPass veya GoTo’dan yeni bir haber alamadık. hatta daha belirsiz ifade sadece olayı araştırdığını söyledi, ancak müşterilerinin de etkilenip etkilenmediğini belirtmeyi ihmal etti.

GoTo sözcüsü Nikolett Bacso-Albaum yorum yapmaktan kaçındı.

TechCrunch, yıllar boyunca sayısız veri ihlali ve şirketler güvenlik olaylarını açıkladığında nelere dikkat edilmesi gerektiğini bildirdi. Bununla TechCrunch işaretlendi ve açıklamalı LastPass’ın veri ihlali bildirimi 🖍️ bunun ne anlama geldiğine ve LastPass’in neleri dışarıda bıraktığına ilişkin analizimizle — tıpkı bu yılın başlarında Samsung’un henüz çözülmemiş ihlalinde yaptığımız gibi.

LastPass veri ihlali bildiriminde ne dedi?

LastPass ve GoTo bulut depolama alanlarını paylaşıyor

Hem LastPass hem de GoTo’nun ilgili müşterilerini bilgilendirmesinin önemli bir nedeni, iki şirketin aynı bulut depolama alanını paylaşın 🖍️.

Hiçbir şirket üçüncü taraf bulut depolama hizmetinin adını vermedi, ancak Amazon’un bulut bilgi işlem kolu olan Amazon Web Services olması muhtemel. 2020’den Amazon blog gönderisi o sırada LogMeIn olarak bilinen GoTo’nun bir milyardan fazla kaydı Oracle’ın bulutundan AWS’ye nasıl taşıdığını anlattı.

Şirketlerin verilerini – farklı ürünlerden bile – aynı bulut depolama hizmetinde depolaması alışılmadık bir durum değildir. Bu nedenle, uygun erişim kontrollerini sağlamak ve müşteri verilerini bölümlere ayırmak önemlidir, böylece bir dizi erişim anahtarı veya kimlik bilgisi çalınırsa, bir şirketin tüm müşteri verileri hazinesine erişmek için kullanılamazlar.

Hem LastPass hem de GoTo tarafından paylaşılan bulut depolama hesabının güvenliği ihlal edilmişse, yetkisiz taraf, şirketin şifreli veya başka türlü bulut verilerine sınırsız olmasa da geniş erişim sağlayan anahtarlar almış olabilir.

LastPass, neye erişildiğini veya verilerin alınıp alınmadığını henüz bilmiyor

LastPass, blog gönderisinde anlamak için “özenle çalıştığını” söyledi. hangi özel bilgi 🖍️ yetkisiz tarafça erişildi. Diğer bir deyişle, LastPass, blog gönderisi sırasında hangi müşteri verilerine erişildiğini veya verilerin bulut depolama alanından sızdırılıp sızdırılmadığını henüz bilmiyor.

Bir şirket için zor bir durum. Bazıları güvenlik olaylarını hemen duyurmak için harekete geçiyor, özellikle de şirketin gerçekte ne olduğu hakkında paylaşacak çok az şeyi olsa veya hiçbir şeyi olmasa bile, özellikle kamuya derhal açıklama yapılmasını zorunlu kılan yargı alanlarında.

LastPass, tarayabileceği günlüklere sahip olup olmadığını araştırmak için çok daha iyi bir konumda olacak ve bu da olay müdahale ekiplerinin hangi verilere erişildiğini ve herhangi bir şeyin çalınıp sızdırılmadığını öğrenmesine yardımcı olabilir. Bu, şirketlere çokça sorduğumuz bir soru ve LastPass da farklı değil. Şirketler, erişim veya güvenlik ihlaline ilişkin “kanıtları” olmadığını söylediğinde, bunun nedeni, neler olup bittiğini bilmek için günlük kaydı gibi teknik araçlardan yoksun olmaları olabilir.

İhlalin arkasında muhtemelen kötü niyetli bir aktör var

LastPass’ın ağustos ayındaki blog yazısının ifadesi, “yetkisiz tarafın” kötü niyetli olmayabileceği olasılığını açık bıraktı.

Hem bir sisteme yetkisiz erişim elde etmek (ve bu süreçte kanunları çiğnemek) hem de nihai amaç sorunu şirkete bildirmek ve düzeltmekse iyi niyetle hareket etmek mümkündür. Şirket (veya hükümet) izinsiz girişten memnun değilse, bilgisayar korsanlığı suçlamasından kurtulmanıza izin vermeyebilir. Ancak, iyi niyetli bir bilgisayar korsanının veya güvenlik araştırmacısının bir güvenlik sorununa neden olmak yerine onu çözmek için çalıştığı açık olduğunda, genellikle sağduyu galip gelir.

Bu noktada şunu varsaymak oldukça güvenlidir: yetkisiz taraf 🖍️ Bilgisayar korsanının – veya bilgisayar korsanlarının – nedeni henüz bilinmese bile, ihlalin arkasında kötü niyetli bir aktör iş başındadır.

LastPass’ın blog yazısı, yetkisiz tarafın olduğunu söylüyor kullanılan bilgiler elde edildi 🖍️ LastPass’i ikinci kez tehlikeye atmak için Ağustos ihlali sırasında. LastPass bu bilginin ne olduğunu söylemiyor. Bu, Ağustos ayında LastPass’ın geliştirme ortamına yapılan baskın sırasında yetkisiz kişilerce ele geçirilen ancak LasPass’ın hiçbir zaman iptal etmediği erişim anahtarları veya kimlik bilgileri anlamına gelebilir.

LastPass veri ihlalinde ne söylemedi?

İhlalin gerçekte ne zaman gerçekleştiğini bilmiyoruz

LastPass, ikinci ihlalin ne zaman gerçekleştiğini söylemedi, yalnızca “yakın zamanda tespit edildi” 🖍️şirketin ihlali keşfetmesine atıfta bulunur ve izinsiz girişin kendisi olması gerekmez.

LastPass’ın veya herhangi bir şirketin izinsiz girişin ne zaman olduğunu bilseler bile tarih vermemesi için hiçbir neden yok. Yeterince hızlı yakalanırsa, bundan bir gurur noktası olarak bahsedilmesini beklersiniz.

Ancak şirketler bunun yerine bazen “yakın zamanda” (veya “gelişmiş”) gibi, gerekli bağlam olmadan gerçekten bir anlam ifade etmeyen belirsiz terimler kullanır. LastPass, davetsiz misafir erişim kazandıktan çok sonrasına kadar ikinci ihlalini keşfetmemiş olabilir.

LastPass, ne tür müşteri bilgilerinin risk altında olabileceğini söylemiyor

Açık bir soru, LastPass ve GoTo’nun paylaşılan bulut depolarında hangi müşteri bilgilerinin depolandığıdır? LastPass yalnızca bunu söylüyor müşteri verilerinin “belirli unsurları” 🖍️ erişildi. Bu, müşterilerin kayıt olduklarında LastPass’a verdikleri ad ve e-posta adresleri gibi kişisel bilgilerden hassas finansal veya fatura bilgilerine ve müşterilerin şifreli şifre kasalarına kadar geniş kapsamlı olabilir.

LastPass, şirketin sıfır bilgi mimarisini tasarlama şekli nedeniyle müşterilerin parolalarının güvende olduğu konusunda kararlıdır. Sıfır bilgi, şirketlerin müşterilerinin şifrelenmiş verilerini yalnızca müşterinin erişebileceği şekilde saklamasına olanak tanıyan bir güvenlik ilkesidir. Bu durumda, LastPass her müşterinin parola kasasını kendi bulut deposunda depolar, ancak verilerin kilidini açmak için yalnızca müşterinin ana parolası vardır, LastPass bile değil.

LastPass’ın blog gönderisindeki ifade, müşterilerin şifreli parola kasalarının güvenliği ihlal edilen aynı paylaşılan bulut depolama alanında saklanıp saklanmadığı konusunda belirsiz. LastPass yalnızca müşteri şifrelerinin “Güvenle şifreli kalın” 🖍️yetkisiz taraf şifreli müşteri kasalarına erişse veya bunları sızdırsa bile, müşterinin ana parolası parolalarının kilidini açmak için hâlâ gerekli olduğundan, bu durum yine de geçerli olabilir.

Müşterilerin şifreli parola kasalarının açığa çıkması veya daha sonra sızması durumunda, tek ihtiyaç duyacakları bir kurbanın ana parolası olduğundan, bu, bir kişinin parolalarına erişme yolundaki önemli bir engeli ortadan kaldıracaktır. Açığa çıkan veya güvenliği ihlal edilmiş bir parola kasası, yalnızca onu karıştırmak için kullanılan şifreleme kadar güçlüdür.

LastPass kaç müşterinin etkilendiğini söylemedi

Davetsiz misafir, müşteri bilgilerini depolayan paylaşılan bir bulut depolama hesabına eriştiyse, depolanan müşteri verilerine sınırsız olmasa da önemli erişimleri olduğunu varsaymak mantıklıdır.

En iyi senaryo, LastPass’ın yıkıcı bir veri hırsızlığı gibi bir senaryoyu önlemek için müşteri bilgilerini bölümlere ayırması veya bölümlere ayırmasıdır.

LastPass, ilk olarak Ağustos ayında gizliliği ihlal edilen geliştirme ortamının müşteri verilerini depolamadığını söylüyor. LastPass ayrıca, kullanıcı bilgilerini işlemek ve işlemek için aktif olarak kullanılan sunucular için bir terim olan üretim ortamının, geliştirme ortamından fiziksel olarak ayrıldığını da söylüyor. Bu mantıkla, LastPass’in ilk Ağustos ölüm sonrası raporunda üretim ortamına yetkisiz erişim olduğuna dair “hiçbir kanıt” olmadığını söylemesine rağmen, davetsiz misafirin LastPass’ın bulut üretim ortamına erişim elde etmiş olabileceği anlaşılıyor. Yine, bu yüzden biz günlükler hakkında soru sor.

En kötüsünü varsayarsak, LastPass yaklaşık 33 milyon müşteri. GoTo var 66 milyon müşteri Haziran ayındaki en son kazançları itibariyle.

GoTo neden veri ihlali bildirimini gizledi?

LastPass’ın blog gönderisinin ayrıntılara ışık tuttuğunu düşünüyorsanız, ana şirketi GoTo’nun açıklaması daha da hafif. Daha da merak uyandıran şey, neden GoTo’nun açıklamasını arattığınızda, başlangıçta onu bulamayacağınızdır. Bunun nedeni, GoTo’nun Google gibi arama motoru tarayıcılarına sayfayı atlamalarını ve sayfayı arama sonuçlarının bir parçası olarak kataloglamamalarını söylemek için blog gönderisinde “noindex” kodunu kullanmasıdır;

GoTo’yu temsil eden kriz iletişim firması Brunswick Group’un direktörü Lydia Tsui, TechCrunch’a GoTo’nun arama motorlarından veri ihlali bildirimini engelleyen “noindex” kodunu kaldırdığını, ancak gönderinin başlamasının hangi nedenle engellendiğini söylemeyi reddetti. .

Asla çözemeyeceğimiz bazı gizemler.





genel-24