Birleşik Krallık Bilgi Komiserliği Ofisi (ICO), LastPass şifre yöneticisi firmasını, 2022 yılında 1.6 milyon kullanıcısının kişisel bilgilerini ve şifre veritabanlarını çalmaya olanak sağlayan güvenlik önlemleri eksikliği nedeniyle 1.2 milyon sterlinle cezalandırdı. Bu olay, iki birbirine bağlı ihlalin sonucuydu ve olay, Ağustos 2022’de başladı.
İhlalin Başlangıcı: Ağustos 2022
İlk ihlal, bir LastPass çalışanının dizüstü bilgisayarının hacklenmesiyle meydana geldi. Bu saldırıda, şirketin geliştirme ortamının bazı bölümlerine erişim sağlandı. Ancak bu aşamada herhangi bir kişisel veri çalınmadı. Saldırgan, şirketin kaynak koduna ve teknik bilgilerine erişti. LastPass, ihlalin önüne geçildiğini düşündü; çünkü şifre açma anahtarları, dört üst düzey çalışanın kasalarında ayrı olarak saklanıyordu.
Fakat ertesi gün, saldırgan bu üst düzey çalışanlardan birini hedef alarak, Plex gibi tanınmış bir üçüncü parti uygulamadaki bir güvenlik açığını kullandı. Bu açığı kullanan hacker, çalışanının ana şifresini bir anahtar kaydedici ile ele geçirdi ve çok faktörlü kimlik doğrulamasını atlatmayı başardı.
Sonuçlar ve Hedeflenen Veriler
Saldırgan, çalışanın hem kişisel hem de iş veritabanlarına aynı ana şifreyi kullandığını fark etti. Bu sayede iş veritabanına girerek bir Amazon Web Services erişim anahtarı ve bir şifre açma anahtarı çaldı. Bu çalınan bilgilerin bir araya gelmesi, saldırganların GoTo bulut depolama firmasını ihlal etmelerine ve LastPass veritabanı yedeklerini çalmalarına olanak tanıdı.
Çalınan veriler arasında şifrelenmiş şifre kasaları, isimler, e-posta adresleri, telefon numaraları ve müşteri hesaplarıyla ilişkili web sitesi URL’leri bulunmaktaydı. LastPass CEO’su Karim Toubba, “Saldırganın yedekten temel müşteri hesap bilgilerini ve ilgili metadata kopyaladığını” açıkladı.
Güvenlik Zafiyetleri ve Kullanıcı Dikkatli Olmalı
ICO, saldırganın şifre kasalarını deşifre etmediğini, çünkü LastPass’ın “Sıfır Bilgi mimarisi” nedeniyle şifre açma anahtarlarını bilmediğini vurguladı. Ancak LastPass, şifrelerin gücünün kullanıcıların ana şifrelerine bağlı olduğu konusunda uyarıda bulundu ve daha zayıf şifrelerin değiştirilmesini önerdi.
Kullanıcıların, şifre yöneticilerinin sunduğu güvenlik avantajlarını koruyabilmesi için güçlü, karmaşık şifreler kullanması gerektiği belirtiliyor. LastPass, şifrelerin en az 12 karakter uzunluğunda ve büyük/küçük harf, rakam, sembol gibi unsurları içermesini öneriyor. Ancak, 16 karakter ve daha uzun bir ana şifre veya çok kelimeli bir ifade kullanılması, hassas bilgilerin korunmasında daha etkili olabilir.
Şifre Güvenliği için İpuçları
Bilgi Komiseri John Edwards, şifre yöneticilerinin önemli bir güvenlik aracı olduğunu ancak bu hizmetleri sunan şirketlerin, hedeflenen saldırılara karşı erişim kontrollerini ve iç sistemlerini güçlendirmesi gerektiğinin altını çizdi. LastPass kullanıcılarının kişisel bilgilerinin korunması için haklı bir beklenti içinde olduğunu vurguladı.
Sonuç olarak, kullanıcılar için güvenli şifre oluşturmanın yanı sıra, kurumsal düzeyde de gerekli güvenlik önlemlerinin alınması hayati önem taşımaktadır. Kullanıcıların güçlü ve karmaşık şifreler kullanması, bilgilerini koruma konusunda atacakları en önemli adımlardan biridir.
