Şifre yöneticisi devi LastPass, siber suçluların, müşterilerinin şifrelerini ve diğer sırlarını saklayan şifreli şifre kasalarını bu yılın başlarında bir veri ihlaliyle çaldığını doğruladı.
İçinde güncellenmiş bir blog yazısı LastPass CEO’su Karim Toubba ifşa edildiğinde, davetsiz misafirlerin bir LastPass çalışanından çalınan bulut depolama anahtarlarını kullanarak müşteri kasası verilerinin bir yedeğinin kopyasını aldıklarını söyledi. Müşteri şifre kasalarının önbelleği, hem şifrelenmemiş hem de şifrelenmiş kasa verilerini içeren “tescilli bir ikili formatta” saklanır, ancak bu tescilli formatın teknik ve güvenlik ayrıntıları belirtilmemiştir. Şifrelenmemiş veriler, kasada depolanan web adreslerini içerir, ancak LastPass daha fazlasını veya hangi bağlamda söylemez. Çalınan yedeklerin ne kadar güncel olduğu net değil.
LastPass, müşterilerin parola kasalarının şifreli olduğunu ve yalnızca müşterinin bildiği, yalnızca müşterinin ana parolasıyla açılabileceğini söyledi. Ancak şirket, izinsiz girişin arkasındaki siber suçluların “ana parolanızı tahmin etmek ve aldıkları kasa verilerinin kopyalarının şifresini çözmek için kaba kuvvet kullanmaya çalışabilecekleri” konusunda uyardı.
Toubba, siber suçluların adlar, e-posta adresleri, telefon numaraları ve bazı fatura bilgileri dahil olmak üzere çok sayıda müşteri verisini de ele geçirdiğini söyledi.
Parola yöneticileri, tümü uzun, karmaşık ve her site veya hizmet için benzersiz olması gereken parolalarınızı saklamak için ezici bir çoğunlukla iyi bir şeydir. Ancak bunun gibi güvenlik olayları, tüm parola yöneticilerinin eşit yaratılmadığını ve farklı şekillerde saldırıya uğrayabileceğini veya tehlikeye atılabileceğini hatırlatır. Herkesin tehdit modelinin farklı olduğu göz önüne alındığında, hiç kimse diğeriyle aynı gereksinimlere sahip olmayacaktır.
LastPass’ın veri ihlali bildirimini incelerken dile getirdiğimiz gibi nadir görülen (yazım hatası değil) bir durumda, kötü bir kişinin müşterilerin şifreli parola kasalarına erişimi varsa, “tek ihtiyaçları olan bir kurbanın ana parolasıdır.” Açığa çıkan veya güvenliği ihlal edilmiş bir parola kasası, yalnızca onu karıştırmak için kullanılan şifreleme ve parola kadar güçlüdür.
Bir LastPass müşterisi olarak yapabileceğiniz en iyi şey, mevcut LastPass ana parolanızı, not edilip güvenli bir yerde saklanan yeni ve benzersiz bir parola (veya parola) ile değiştirmektir. Bu, mevcut LastPass kasanızın güvende olduğu anlamına gelir.
LastPass şifre kasanızın tehlikeye girebileceğini düşünüyorsanız – ana şifrenizin zayıf olması veya onu başka bir yerde kullanmış olmanız gibi – LastPass kasanızda saklanan şifreleri değiştirmeye başlamalısınız. E-posta hesaplarınız, cep telefonu plan hesabınız, banka hesaplarınız ve sosyal medya hesaplarınız gibi en kritik hesaplarla başlayın ve öncelik listesinde ilerleyin.
İyi haber şu ki, iki faktörlü kimlik doğrulama ile korunan herhangi bir hesap, bir saldırganın, telefon açılır penceresi veya kısa mesaj veya e-posta kodu gibi ikinci faktör olmadan hesaplarınıza erişmesini çok daha zorlaştıracaktır. Bu nedenle, önce e-posta hesaplarınız ve cep telefonu planı hesaplarınız gibi bu ikinci faktör hesaplarının güvenliğini sağlamanız önemlidir.