Bir parola yönetim hizmeti olan LastPass, Perşembe günü bilgisayar korsanlarının müşteri parolalarının şifrelenmiş kopyalarını ve fatura adresleri, telefon numaraları ve IP adresleri gibi diğer hassas verileri çaldığını duyurdu. Duyuru, Ağustos ayında meydana gelen bir ihlalin en son güncellemesidir. O sırada şirket, bilgisayar korsanlarının müşteri verilerine veya şifreli şifre kasalarına erişimi olduğuna dair hiçbir kanıt görmediklerini söyledi.
Ancak şirketin Perşembe günü yaptığı açıklamada, bu saldırının bir parçası olarak çalınan kaynak kodu ve teknik bilgilerin başka bir çalışanı hedef almak için kullanıldığı belirtildi. Bilgisayar korsanları daha sonra üçüncü taraf bir bulut depolama alanında depolanan verilere erişmek ve bunların şifresini çözmek için kimlik bilgileri ve anahtarlar elde edebildi.
Müşterilerin LastPass’a eriştiği e-posta adresleri ve IP adresleri dahil olmak üzere temel müşteri hesabı bilgileri ve “web sitesi kullanıcı adları ve şifreleri, güvenli notlar ve formla doldurulmuş veriler gibi tamamen şifrelenmiş hassas alanlar” gibi şeyleri kopyalayabildiler.
Parola yöneticileri, müşterilerin kullanıcı adlarını ve parolaları tek bir yerde saklamasının bir yoludur ve bir müşterinin oluşturduğu bir ana parola kullanılarak erişilebilir. Açıklamada, ana parolanın LastPass tarafından bilinmediği ve şirket tarafından saklanmadığı veya korunmadığı belirtildi.
Şirket, diğer şifrelenmiş verilerin şifresinin yalnızca “her kullanıcının ana parolasından türetilen benzersiz bir şifreleme anahtarıyla” çözülebileceğini söyledi.
Bununla birlikte LastPass, müşterilerini sosyal mühendislik, kimlik avı girişimleri veya diğer yöntemlerle hedef alınabilecekleri konusunda uyardı.
Şirketten yapılan açıklamada, “Tehdit aktörü, ana parolanızı tahmin etmek ve aldıkları kasa verilerinin kopyalarını çözmek için kaba kuvvet kullanmaya çalışabilir” dedi. “Müşterilerimizi korumak için kullandığımız karma ve şifreleme yöntemleri nedeniyle, en iyi parola uygulamalarımızı izleyen müşteriler için kaba kuvvetle ana parolaları tahmin etmeye çalışmak son derece zor olacaktır.”
Şirket, LastPass’ın parola rehberliğini izleyenler için “genel olarak mevcut parola kırma teknolojisini kullanarak ana parolanızı tahmin etmenin milyonlarca yıl süreceğini” söyledi.
Bir LastPass temsilcisi, yorum isteyen mesajlara yanıt vermedi.
Şirket, ihlali araştırmak için siber güvenlik firması Mandiant’ı tuttuğunu söyledi. Ayrıca, tüm geliştirme ortamını sıfırdan yeniden inşa ettiğini söyledi, bu da bilgisayar korsanlarının şirketin hassas sistemlerini tamamen ele geçirdiğinin bir göstergesi.
LastPass, soruşturmasının devam ettiğini ve kolluk kuvvetleri ile “ilgili düzenleyici makamları” bilgilendirdiğini söyledi.
© 2022 Bloomberg LP
