Kuşatılmış parola yöneticisi LastPass, başka bir ciddi güvenlik açığını duyurdu ve bu sefer, bazı kullanıcılar için bardağı taşıran son damla olabilir.
Aylardır şirket, kötü bir durum hakkında periyodik olarak güncellemeler sağlıyor. veri ihlali geçen ağustos ayında meydana gelen olay. O sırada LastPass, bir siber suçlunun şirketin geliştirme ortamına sızmayı ve bazı kaynak kodlarını çalmayı başardığını ortaya çıkardı. talep edildi sonuç olarak herhangi bir kullanıcı verisinin güvenliğinin ihlal edildiğine dair “kanıt” yoktu. Ardından, Aralık ayında şirket bir güncellemeaslında, evet, belirli kullanıcı bilgilerinin ifşa edilmesi vardı güvenliği ihlal edildi, ancak tam olarak neyin etkilendiğini paylaşamadı. Birkaç hafta sonra o yaptı ortaya çıkarmak Neler etkilenmişti: Kullanıcıların, doğru ve aşırı koşullar altında toplam hesap güvenliğinin aşılmasına yol açabilecek kasa verileri. Ve şimdi, nihayet, LastPass henüz sağladı Daha ayrıntılar, ihlalin sonuçlarının daha önce hayal edilenden daha kötü olduğunu ortaya koyuyor. Muhtemelen bazı kullanıcıların tepeler için çığlık atmasını sağlamak için yeterlidir.
göre bir basın bülteni Pazartesi günü yayınlanan ilk Ağustos veri ihlali, söz konusu siber suçlunun LastPass’in en ayrıcalıklı çalışanlarından birinin (kıdemli bir DevOps mühendisi ve platformun paylaşılan bulutunun kilidini açabilecek şifre çözme anahtarlarına erişimi olan yalnızca dört çalışandan biri) birinin ev bilgisayarını hacklemesine izin verdi. çevre. Bilgisayar korsanı daha sonra mühendisin bilgisayarına, LastPass ana parolasını çalmalarına izin veren bir keylogger bağladı. Siber suçlu, PW’yi kullanarak mühendisin şifre kasasına girmeyi başardı ve mühendisin hesabından gerekli şifre çözme anahtarlarını çalarak, LastPass’ın paylaşılan bulut ortamına girerek bir sürü önemli veriyi çaldı.
Şirket, bilgisayar korsanının “AWS S3 LastPass üretim yedeklerine, diğer bulut tabanlı depolama kaynaklarına ve ilgili bazı kritik öğelere erişmek için gereken erişim ve şifre çözme anahtarlarıyla şifrelenmiş güvenli notlar içeren yerel kurumsal kasa girişlerini ve paylaşılan klasörlerin içeriğini dışa aktardığını” kabul ediyor. veritabanı yedekleri”
Kısacası: evet, evet, evet.
Söylemek yeterli, bu, platformun müşterilerinin çoğunu pek mutlu etmeyecek. Siber suçlunun şirketin savunmasını aşma derecesi kesinlikle sinir bozucu. Aslına bakarsanız, Motherboard’daki güvenlik muhabiri Joseph Cox tavsiye etmek web kullanıcılarının LastPass’tan tamamen uzak durması. Cox, en son ifşaatlarla ilgili makalesinde, güvenlik sorunları, tehlikeli halkla ilişkiler taktikleri ve şeffaflık eksikliği nedeniyle şifre yöneticisine giriyor:
Popüler şifre yöneticisi LastPass iyi niyetli değil. Şirket, ağustos ayında bir ihlali ilk kez açıkladığından beri, tüketicilere yavaş yavaş bilgi damlattı ve ortaya çıkan yeni ayrıntılar, parolalarınız konusunda güvenilmemesi gereken bir şirketin resmini giderek daha fazla çiziyor.
Cox makalesini “başka bir parola yöneticisi bulmanın zamanı geldi” diyerek bitiriyor. Birkaç kullanıcıdan fazlası için şüphesiz aynı sayfadalar.