Geçen yıl, şifre yöneticisi LastPass için özellikle kötüydü, çünkü bir dizi bilgisayar korsanlığı olayı, sözde sağlam güvenliğinde bazı ciddi zayıflıkları ortaya çıkardı. Şimdi, bu saldırıların nasıl gerçekleştiğini tam olarak biliyoruz ve gerçekler oldukça nefes kesici.
Her şey Ağustos 2022’de, LastPass’in bir tehdit aktörünün uygulamanın kaynak kodunu çaldığını ortaya çıkarmasıyla başladı. Sonraki ikinci saldırıda, bilgisayar korsanı bu verileri ayrı bir veri ihlalinde bulunan bilgilerle birleştirdi ve ardından LastPass çalışanları tarafından kullanılan bir uzaktan erişim uygulamasındaki bir zayıflıktan yararlandı. Bu, şirketteki kıdemli bir mühendisin bilgisayarına bir keylogger kurmalarına izin verdi.
Bu keylogger yerleştirildikten sonra bilgisayar korsanları, mühendisin LastPass ana parolasını girildiği anda ele geçirebilir ve onlara çalışanın kasasına ve içindeki tüm sırlara erişim izni verebilirdi.
Kasanın içeriğini dışa aktarmak için bu erişimi kullandılar. Veriler arasında, LastPass’ın bulut depolama sisteminde depolanan müşteri yedeklerinin şifresini çözmek için gereken şifre çözme anahtarları bulunuyordu.
LastPass, üretim yedeklerini ve kritik veritabanı yedeklerini bulutta tuttuğu için bu önemlidir. Büyük miktarda hassas müşteri verisi de çalındı, ancak görünüşe göre bilgisayar korsanları bu verilerin şifresini çözemedi. Bir LastPass destek sayfası ayrıntıları tam olarak ne çalındı.
şüpheli şeffaflık
LastPass kullanıcılarının şansına, müşterilerin en hassas verileri (çoğu) e-posta adresleri ve parolalar gibi) sıfır bilgi yöntemi kullanılarak şifrelenmiş gibi görünüyor. Bu, her kullanıcının ana parolasından türetilen ve LastPass tarafından bilinmeyen bir anahtarla şifrelenmiş oldukları anlamına gelir. Bilgisayar korsanları, LastPass verilerini çaldığında, LastPass tarafından hiçbir yerde saklanmadıkları için bu şifre çözme anahtarlarını alamadılar.
Bununla birlikte, tehdit aktörleri tarafından çok sayıda önemli veri alındı. Bu, LastPass’ın çok faktörlü kimlik doğrulama veritabanının yedeklerini, API sırlarını, müşteri meta verilerini, yapılandırma verilerini ve daha fazlasını içeriyordu. Bunun yanı sıra, LastPass dışında çok sayıda ürün de ihlal edilmiş görünüyor.
İçinde Destek sayfası, LastPass, ikinci saldırının – gerçek çalışan giriş bilgileri kullanılarak – gerçekleştirilme şeklinin tespit edilmesini zorlaştırdığını söyledi. Sonunda şirket, AWS GuardDuty Alerts sistemi, birinin yetkisiz etkinlik gerçekleştirmek için Bulut Kimliği ve Erişim Yönetimi rollerini kullanmaya çalıştığı konusunda onu uyardığında bir şeylerin ters gittiğini fark etti.
LastPass, son aylarda saldırıları ele almasıyla ilgili çok sayıda eleştiri aldı ve bu onaylamamanın en son ifşaatlar ışığında ortadan kalkması pek olası değil. Hatta bir güvenlik şirketi, LastPass’ın güvenilir bir uygulama olmadığını ve kullanıcıların farklı şifre yöneticilerine geçmesi gerektiğini söyleyecek kadar ileri gitti.
Şu anda, LastPass görünüşe göre saldırı destek sayfalarını sayfalara “” kodunu ekleyerek arama motorlarından gizlemeye çalışıyor. Bu, kullanıcıların (ve daha geniş dünyanın) ne olduğunu öğrenmesini yalnızca daha da zorlaştıracak ve şeffaflık ve hesap verebilirlik ruhuyla pek de yapılmamış gibi görünüyor. Şirket blogunda da hiçbir şey yayınlanmadı.
LastPass müşterisiyseniz alternatif bir uygulama bulmanız daha iyi olabilir. Neyse ki, önemli bilgilerinizi güvenilir bir şekilde koruyabilecek birçok mükemmel parola yöneticisi var.
