Son LastPass veri ihlaliyle ilgili bir başka güncelleme, şifre yöneticisi kullanıcıları için potansiyel olarak daha da kötü haberleri ortaya çıkardı. (yeni sekmede açılır).
LastPass ana şirketi GoTo’nun CEO’su Paddy Srinivasan, bir blog gönderisinde açıkladı (yeni sekmede açılır) her iki firma tarafından paylaşılan üçüncü taraf bulut depolama hizmetini hedef alan saldırganların, bir dizi ürünle ilgili şifrelenmiş yedekleri ele geçirmeyi başardığı belirtildi.
Bu ürünler Central, Pro, join.me, Hamachi ve RemotelyAnywhere’i içerir.
Şifreleme anahtarı alındı
Srinivasan, şifrelenmiş yedeklemelerin yanı sıra, saldırganların şifrelenmiş yedeklemelerin “bir kısmı” için bir şifreleme anahtarını da sızdırdığını ekledi.
Şu anda risk altında olan veriler arasında hesap kullanıcı adları, saltlanmış ve karma parolalar, Multi-Factor Authentication (MFA) ayarlarının bir kısmı ve bazı ürün ayarları ve lisanslama bilgileri yer alır. Kredi kartı veya banka bilgileri etkilenmedi. Doğum tarihleri, ev adresleri ve Sosyal Güvenlik numaralarının da güvenli olduğu söylendi, çünkü GoTo bunların hiçbirini saklamaz.
Ayrıca, Rescue ve GoToMyPC kullanıcılarının “küçük bir alt kümesinin” MFA ayarları etkilenmiştir. Ancak şifreli veritabanlarının alınmadığı söylendi.
Tüm hesap parolaları “en iyi uygulamalara uygun olarak” tuzlanmış ve karma haline getirilmiş olsa da, GoTo yine de parolaları sıfırladı (yeni sekmede açılır) etkilenen kullanıcıların oranı ve mümkünse MFA ayarlarını yeniden yetkilendirmelerini sağladı. CEO ayrıca şirketin, ek güvenlik ve daha sağlam kimlik doğrulama ve giriş tabanlı güvenlik seçenekleri sağlamak için etkilenen hesapları gelişmiş bir Kimlik Yönetimi Platformuna taşıdığını söyledi.
Srinivasan, etkilenen müşterilere doğrudan ulaşıldığını doğruladı.
LastPass ilk olarak Kasım 2022’de bir veri ihlali yaşadığını bildirdi. İlk soruşturma, bilgisayar korsanlarının müşteri kasalarını, esasen tüm şifrelerini içeren veritabanlarını çalmayı başardıklarını belirledi. Ancak kasaların kendileri şifrelenmiştir, yani dolandırıcıların içeriklerini okumak o kadar kolay olmayacak.
LastPass CEO’su Karim Toubba, “Bu şifrelenmiş alanlar 256-bit AES şifreleme ile korunuyor ve yalnızca Zero Knowledge mimarimiz kullanılarak her kullanıcının ana parolasından türetilen benzersiz bir şifreleme anahtarıyla çözülebilir.” “Bir hatırlatma olarak, ana parola LastPass tarafından asla bilinmez ve LastPass tarafından depolanmaz veya korunmaz.”