LastPass’ın bir sersemliği var güncellenmiş duyuru Yakın tarihli bir veri ihlali hakkında: Tüm şifrelerinizi tek ve güvenli bir yerde tutmayı vaat eden şirket, şimdi bilgisayar korsanlarının “müşteri kasası verilerinin bir yedeğini kopyalayabildiklerini” söylüyor, yani teorik olarak artık tüm bu şifrelere erişebiliyorlar. eğer çalıntı kasaları kırabilirlerse (yolu ile TechCrunch).
LastPass’ta parolaları ve oturum açma bilgilerini depolamak için kullandığınız bir hesabınız varsa veya bir hesabınız varsa ve bu sonbahardan önce silmediyseniz, parola kasanız bilgisayar korsanlarının eline geçmiş olabilir. Yine de şirket, güçlü bir ana parolanız ve en son varsayılan ayarlarınız varsa güvende olabileceğinizi iddia ediyor. Bununla birlikte, zayıf bir ana parolanız veya daha az güvenliğiniz varsa şirket, “ekstra bir güvenlik önlemi olarak, sakladığınız web sitelerinin parolalarını değiştirerek riski en aza indirmeyi düşünmelisiniz” diyor.
Bu, LastPass’ın depolamasına güvendiğiniz her web sitesinin şifrelerini değiştirmek anlamına gelebilir.
LastPass, parolaların hâlâ hesabın ana parolasıyla güvence altına alındığında ısrar etse de, bu ifşaları nasıl ele aldığı göz önüne alındığında, bu noktada sözüne inanmak zor.
Şirket, Ağustos ayında ihlal edildiğini açıkladığında, kullanıcı verilerine erişildiğine inanmadığını söyledi. Ardından, Kasım ayında LastPass, görünüşe göre Ağustos olayında çalınan bilgilere dayanan bir izinsiz giriş tespit ettiğini söyledi (bu olasılığı Ağustos ve Kasım ayları arasında duymak güzel olurdu). Bu izinsiz giriş, birinin müşteri bilgilerinin “belirli öğelerine erişmesine” izin verdi. Görünüşe göre bu “belirli unsurlar” LastPass’ın sakladığı en önemli ve gizli şeylerdi. Şirket, “şifrelenmemiş herhangi bir kredi kartı verisine erişildiğine dair hiçbir kanıt olmadığını” söylüyor, ancak bu muhtemelen bilgisayar korsanlarının gerçekte paçayı sıyıracaklarına tercih edilecek bir şeydi. En azından bir veya iki kartı iptal etmek kolaydır.
Bulut depolama alanından müşteri kasalarının bir yedeği kopyalandı
Tüm bunların nasıl gerçekleştiğini birazdan öğreneceğiz, ancak LastPass CEO’su Karim Toubba’nın alınan kasalar hakkında söyledikleri:
Tehdit aktörü ayrıca, hem web sitesi URL’leri gibi şifrelenmemiş verileri hem de web sitesi kullanıcı adları ve parolaları, güvenli notlar ve formla doldurulmuş veriler gibi tamamen şifrelenmiş hassas alanlar.
Toubba, kötü niyetli bir aktörün bu şifrelenmiş verilere ve dolayısıyla parolalarınıza ulaşabilmesinin tek yolunun ana parolanız olduğunu söylüyor. LastPass, ana parolalara hiçbir zaman erişimi olmadığını söylüyor.
Bu nedenle, asla yeniden kullanmadığınız çok iyi bir ana parolanız olduğu sürece (ve arada teknik bir kusur olmadığı sürece) “ana parolaları kaba kuvvetle tahmin etmeye çalışmak son derece zor olurdu” diyor. LastPass verileri şifreledi – ancak şirket bazılarını yaptı daha önce oldukça basit güvenlik hataları). Ancak bu verilere kim sahip olursa olsun, rastgele şifreler tahmin ederek, diğer adıyla kaba kuvvet kullanarak kilidini açmaya çalışabilir.
LastPass, önerilen varsayılanları kullanmanın meli sizi bu tür saldırılardan korur, ancak birinin bir kasayı günlerce, aylarca veya yıllarca tekrar tekrar açmaya çalışmasını engelleyecek herhangi bir özellikten bahsetmez. Ayrıca, insanların ana parolalarına başka şekillerde erişilebilme olasılığı da vardır – birisi ana parolasını diğer oturum açma işlemleri için yeniden kullanırsa, diğer veri ihlalleri sırasında bu parola sızmış olabilir.
Ayrıca, daha eski bir hesabınız varsa (2018’den sonra getirilen daha yeni bir varsayılan ayardan önce), ana parolanızı korumak için daha zayıf bir parola güçlendirme işlemi kullanılmış olabilir. LastPass’a göre, şu anda “Parola Tabanlı Anahtar Türetme İşlevinin 100.100 yinelemesinin normalden daha güçlü bir uygulamasını” kullanıyor, ancak bir sınır personel, kullanarak eski hesaplarını kontrol etti bir bağlantı şirket, blogunda, hesaplarının 5.000 yinelemeye ayarlandığını söyledi.
Belki de daha ilgili olan bit, şifrelenmemiş verilerdir – URL’ler içerdiği göz önüne alındığında, bilgisayar korsanlarına hangi web sitelerinde hesaplarınız olduğu konusunda bir fikir verebilir. Belirli kullanıcıları hedeflemeye karar verirlerse, bu, kimlik avı veya diğer saldırı türleri ile birleştirildiğinde güçlü bir bilgi olabilir.
Bir LastPass müşterisi olsaydım, şirketin bu bilgiyi nasıl ifşa ettiğinden memnun olmazdım
Bunların hiçbiri harika bir haber olmasa da, teoride bulutta sır saklayan herhangi bir şirketin başına gelebilecek bir şey. Siber güvenlikte, oyunun adı yüzde 100 mükemmel bir sicile sahip olmak değil; felaketler meydana geldiğinde onlara nasıl tepki verdiğinizdir.
Ve bence LastPass’ın kesinlikle başarısız olduğu yer burası.
Unutmayın, bu duyuruyu bugün, 22 Aralık’ta – Noel’den üç gün önce, birçok BT departmanının büyük ölçüde tatilde olacağı ve insanların parola yöneticilerinden gelen güncellemelere dikkat etmeyecekleri bir zamanda yapıyor.
(Ayrıca, duyuru kasaların kopyalanmasıyla ilgili kısma kadar gelmez. beş paragraf. Ve bazı bilgiler kalın yazılmış olsa da, böyle büyük bir duyurunun en üstte olmasını beklemek adil olur.)
LastPass, kasa yedeğinin ilk olarak Ağustos ayında tehlikeye atılmadığını söylüyor; bunun yerine, hikayesi, tehdit aktörünün bu ihlalden gelen bilgileri üçüncü taraf bir bulut depolama hizmetine erişimi olan bir çalışanı hedeflemek için kullanmasıdır. Kasalar, “temel müşteri hesabı bilgilerini ve ilgili meta verileri” içeren yedeklerle birlikte, o bulut depolama alanında erişilen birimlerden birinde saklandı ve kopyalandı. LastPass’a göre “şirket adları, son kullanıcı adları, fatura adresleri, e-posta adresleri, telefon numaraları ve müşterilerin LastPass hizmetine eriştiği IP adresleri” gibi şeyler buna dahildir.
Toubba, şirketin ilk ihlal ve yedekleri açığa çıkaran ikincil ihlal nedeniyle gelecekte şüpheli etkinlikleri tespit etmek için daha fazla günlük kaydı ekleme, geliştirme ortamını yeniden oluşturma, kimlik bilgilerini döndürme ve daha fazlası dahil olmak üzere her türlü önlemi aldığını söylüyor.
Bunların hepsi iyi ve bunları yapması gerekiyor. Ancak bir LastPass kullanıcısı olsaydım, bu noktada şirketten ayrılmayı ciddi olarak düşünürdüm, çünkü burada iki senaryodan birine bakıyoruz: ya şirket, kullanıcıların kasalarını içeren yedeklemelerin açık olduğunu bilmiyordu. 30 Kasım’da orada olağandışı etkinlik tespit ettiğini açıkladığında bulut depolama hizmeti veya yaptı bilgisayar korsanlarının onlara erişmiş olma olasılığını bildikleri ve müşterilere söylememeyi tercih ettikleri. Bunların hiçbiri iyi bir görünüm değil.