LastPass son on yılda haberlerde oldukça yer aldı. Bazı veri ihlalleri ve güvenlik olaylarının ardından, ister eski, ister mevcut veya potansiyel LastPass kullanıcısı olun, iyi bilinen şifre yöneticisini kullanmanın artık güvenli olup olmadığını merak ediyor olabilirsiniz.
Geçmişte yaşanan olayların yanı sıra LastPass’ın mevcut özelliklerine ve güvenlik önlemlerine de göz atalım.
LastPass nedir?
Son Geçiş web’de, masaüstünde ve mobilde ve ayrıca tarayıcı uzantılarıyla kullanılabilen bir şifre yönetimi uygulamasıdır. Temel şifre yönetimi özelliklerinin yanı sıra çok faktörlü kimlik doğrulama, biyometrik giriş, otomatik doldurma, şifre oluşturucu ve karanlık web izleme özellikleri sunar.
Güvenliğe gelince, LastPass, AES-256 veri şifrelemesini kullanıyor, SHA-256 tuzlamayla PBKDF2 karma işlemi ve sıfır bilgi modeli. LastPass ayrıca ISO 27001, TRUSTe, SOC3 ve diğerleri de dahil olmak üzere çeşitli güvenlik sertifikalarına sahiptir.
Şu anda LastPass’ın 33 milyondan fazla kullanıcısı var ve tahmini yıllık gelir 143,7 milyon dolar.
Bunların hepsi kulağa harika geliyor, değil mi? Peki sorun ne?
LastPass güvenlik olayları
İnsanların LastPass’ı kullanmanın güvenli olup olmadığını sormasının bir nedeni var. Yıllar boyunca yaşanan bilgi hırsızlığının yanı sıra güvenlik ihlalleri de kesinlikle endişe kaynağıdır. Bu olaylar hakkında daha fazla bilgi edinmek için, neler olduğuna dair kısa bir zaman çizelgesine bakalım.
2011: Güvenlik bildirimi
LastPass, ağ trafiğinde ve veritabanlarından birinde eşleşecek bir düzensizlik buldu. Belirli bir ihlal tespit etmese de LastPass kullanıcılarından ana şifrelerini değiştirmelerini istedi bazı verilerinin saldırıya uğramış olabileceği korkusuyla.
2015: Güvenlik ihlali
LastPass topluluğunu bilgilendirdi ağında “şüpheli aktiviteyi tespit edip engellediğini” söyledi. Bildirimde e-posta adreslerinin, şifre hatırlatıcılarının, kullanıcı başına sunucu tuzlarının ve kimlik doğrulama karmalarının ele geçirildiği belirtildi. Ancak kullanıcı kasası verilerinin çalındığına dair kanıt bulamadı ve kullanıcı hesaplarına erişilemediği belirtildi.
2021: Üçüncü taraf izleyiciler ve ana şifreler
Bir LastPass kullanıcısı, Android mobil uygulamasında birçok üçüncü taraf izleyici keşfetti. Benzer şifre yöneticileri de bu tür izleyicileri içerse de, LastPass’ın 1Password, Bitwarden ve Dashlane arasında en fazlasına sahip olduğu vurgulandı.
“Bu izleyiciler aracılığıyla hiçbir hassas kişisel olarak tanımlanabilen kullanıcı verisi veya kasa etkinliği aktarılamaz. Bu izleyiciler, ürünü geliştirmemize ve optimize etmemize yardımcı olmak için kullanılan LastPass’i nasıl kullandığınıza ilişkin sınırlı toplu istatistiksel veriler topluyor” dedi. The Register’a verilen beyan LastPass temsilcisi tarafından.
2021’in sonlarında LastPass kullanıcılarına, ana şifrelerinin ele geçirildiği ve bu şifrelerle giriş yapma girişimlerinin engellendiği e-posta yoluyla bildirildiği bildirildi. Ancak bir LastPass temsilcisi belirtti şirketin bu raporları araştırdığını ve “faaliyetin oldukça yaygın olan botla ilgili faaliyetlerle ilgili olduğunu tespit ettiğini…”
2022: Veri hırsızlığı
Muhtemelen en unutulmaz güvenlik olayı, bir bilgisayar korsanının LastPass müşteri veri tabanının bir kopyasının yanı sıra parola kasaları ve adlar, e-posta ve fatura adresleri, kısmi kredi kartı numaraları ve URL’ler gibi veriler de çalındığında meydana geldi. Şifrelenmiş ve şifrelenmemiş verilerin bir karışımı vardı.
LastPass güvenlik olayı raporu yukarıdaki Ağustos 2022 olayıyla başlıyor. Daha sonra önümüzdeki birkaç ay boyunca yapılacak güncellemelerle birlikte, diğer verilerle birlikte yedekleri barındırmak için kullanılan paylaşılan bir üçüncü taraf bulut depolama hizmetindeki olağandışı faaliyetlere ilişkin araştırmasını açıklıyor.
LastPass, 2022’nin sonlarında, Ağustos ayındaki olayda elde edilen verilerin müşteri bilgilerine erişim sağlamak için kullanıldığını ancak şifrelerin şifreli kaldığını belirtti.
Söz konusu kişi veya kuruluş, daha sonra bir LastPass çalışanını hedef almak için kaynak kodunu ve teknik bilgileri elde edebildi. Bu bulut hizmetindeki depolama birimlerine erişmek ve bunların şifresini çözmek için kimlik bilgileri ve anahtarlar elde ettiler. Daha sonra şirket adlarını, kullanıcı adlarını, e-posta ve fatura adreslerini, telefon numaralarını ve IP adreslerini içeren bir yedekten bilgileri kopyaladılar.
Eylül 2023’te, 2022’deki veri hırsızlığı olayı ile 100’den fazla veri hırsızlığı olayı arasında bir bağlantı bulundu. 150’den fazla kurbandan 35 milyon dolarlık kripto para çalındı önceki Aralık ayından bu yana.
Ek LastPass güvenlik önlemleri
Daha önce de belirtildiği gibi LastPass, şifreleme için endüstri standardını, tuzlama ile PBKDF2 karma işlemini ve verilerinizi korumak için sıfır bilgi yöntemini kullanır.
Ayrıca hizmetinin ve altyapısının rutin denetimlerinden ve testlerinden geçer ve kullanıcılara olası zayıflıkları bildirmek için güvenlik ekibine erişim sağlar. LastPass ayrıca beyaz şapkalı bilgisayar korsanlarının buldukları hataları gönderebilecekleri Hata Ödül Programı adı verilen programı da kullanıyor.
LastPass’ı kullanmalı mısınız?
Mevcut güvenlik önlemleri, iyi bir özellik seti ve milyonlarca kullanıcıyla, on yılı aşkın süredir yaşanan güvenlik olaylarını göz ardı ederseniz, parola yöneticiniz olarak LastPass’ı kullanmak mantıklı görünüyor.
Ama asıl mesele bu. Olabilmek Sen olaylara bakışlar uyuyor mu? İstemek Sen Verilerinizin güvende olduğunu düşünüyor musunuz? Ne kadar güven var Sen LastPass’a girmeye istekli misiniz?
Parola yönetimi ürünlerine sahip olup manşetlere çıkmamış veya LastPass gibi olaylarla karşılaşmamış pek çok şirket var. Ve öyle görünüyor ki LastPass’ın arkasında bilgisayar korsanları ve hırsızlara karşı kalıcı bir hedef var. Umarız şirket sorunları çözmek için gerekli önlemleri alıyordur, ancak şu anda riske değip değmeyeceğine karar vermeniz gerekecek.