A büyük hack şifre yöneticisi devi LastPass’i etkileyen, ilk düşünülenden çok daha kötü görünüyor. LastPass CEO’su Karim Toubba, Noel’den iki gün önce yaptığı bir güncelleme duyurusunda, saldırganların müşteri kasası verilerinin bir yedeğini başarıyla kopyalayabildiklerini itiraf etti. Bu veriler ellerindeyken, saldırganlar, bir kullanıcının ana parolasını tahmin etmenin bir yolunu bulabilirlerse, potansiyel olarak kullanıcıların tüm parola koleksiyonlarına ve LastPass ile depolanan diğer verilere erişebilirler.
Kalp krizlerinde ani bir artışı önlemeye çalışan Toubba, şirketin varsayılan ayarlarını ve en iyi uygulamalarını kullanan müşteriler için ana parolaları kaba kuvvetle tahmin etmenin “son derece zor” olacağı konusunda uyardı. CEO’ya göre, bu kullanıcılar için, saldırganların “genel olarak mevcut parola kırma teknolojisini” kullanarak bu kodları kırması “milyonlarca yıl” alabilir. LastPass, kullanıcıların ana parolalarına erişimi olmaması gerektiğini söylüyor.
Bu rahatlatıcı güvence, daha zayıf ana parolalara sahip kullanıcılar için geçerli olmayabilir. Bu gibi durumlarda LastPass, kullanıcılara depoladıkları tüm web sitelerinin şifrelerini değiştirmelerini tavsiye etti. hesap bilgilerinin çılgınca sıfırlandığı meşakkatli, zahmetli bir günün sizi beklediği anlamına gelebilir. Ve güçlü ana parolaların tahmin edilmesinin zor olabileceği doğru olsa da, en güçlü parolalar bile kullanıldıkları takdirde risk altında olabilir. daha önce ihlal edilen başka bir site. Orada hiçbir kıtlık sadece karanlık web pazarlarında oturan önceden saldırıya uğramış şifreler. Etkilenen LastPass müşterileri ayrıca kendilerini, krallığa anahtarlarını farkında olmadan teslim etmeleri için kandırmaya çalışan can sıkıcı kimlik avı girişimlerinin içinde bulabilirler.
Toubba, şifrelere ek olarak, çalınan kasa verilerinin şifrelenmemiş URL’lerle birlikte “web sitesi kullanıcı adları ve şifreleri, güvenli notlar ve formla doldurulmuş veriler gibi tamamen şifrelenmiş hassas alanlar” içerdiğini söyledi. Sofistike saldırılar, The Verge notlardaha ikna edici kimlik avı kampanyaları oluşturmak için bir kullanıcının ziyaret ettiği siteler aracılığıyla aktarılan bilgileri kullanabilir.
LastPass, Gizmodo’nun yorum talebine hemen yanıt vermedi.
Birincil hizmeti parolaları tek bir güvenli yerde toplamak ve korumak olan bir şirket için bu, olabilecek en kötü durum. Önce LastPass ifşa geçen ayın sonlarında bir blog gönderisindeki son saldırılar. O sırada şirket şifreli bir şekilde saldırganın daha fazla ayrıntı vermeden “müşteri bilgilerinin” “belirli öğelerine” erişebildiğini söyledi. Şirket, olaydan hiçbir müşteri şifresinin etkilenmediğini söyleyerek devam etti. teknik olarak doğru, ama artık bildiğimiz gibi, hikayenin sadece bir kısmını anlatıyor.
İşleri daha da kötüleştiren bu en son saldırı, görünüşe göre mümkün oldu sadece altı ay önce meydana gelen önceki bir olayla. Bu durumda şirket, saldırganın geliştirme ortamından “kaynak kodunu ve teknik bilgileri” çaldığını ve kimlik bilgilerini almak için bir çalışanı hedef almak için kullandığını söylüyor.
Bakın, kullanıcıların düzinelerce kimlik bilgisine sahip olmasını gerektiren dijital bir dünyada, parola yöneticileri güvenlik için giderek daha fazla bir zorunluluk haline geliyor. Aynı zamanda, hassas bilgilerin bu yüksek konsantrasyonu, şifre yöneticisi sitelerini en ağız sulandıranlardan bazıları kötü aktörler için hedefler. Son Geçiş Bunun geldiğini görmeliydim ve bulgular mevcut olsaydı, bu ayrıntıları müşterilere daha önce açıklamalıydı.