Siber Güvenlik

Kritik! Bulut Şifre Yöneticilerinde 25 Şifre Kurtarma Saldırısı Keşfedildi

teknomers
teknomers

Giriş

Yeni bir araştırma, bulut tabanlı birçok şifre yöneticisinin, belirli koşullar altında şifre kurtarma saldırılarına maruz kalabileceğini ortaya koydu. Bu durum, hem bireysel kullanıcılar hem de kurumlar için büyük bir tehdit oluşturmaktadır.

Contents

Saldırı Nasıl Çalışıyor?

Araştırmaya göre, saldırılar “şifre yönetim sistemleri”nin sıfır bilgi şifreleme (Zero-Knowledge Encryption – ZKE) taahhütlerini sorgulamak amacıyla tasarlanmıştır. ZKE, bir tarafın bir sırrı diğerine açıklamadan bilgi sahibi olduğunu kanıtlama tekniğidir.

Bu saldırılar dört ana kategoriye ayrılmaktadır:

  • Key Escrow yani anahtar devirme mekanizması üzerinden gerçekleştiren saldırılar; Bitwarden ve LastPass’teki gizlilik garantilerini tehlikeye atmaktadır.
  • Hatalı item-level encryption yani öğe bazlı şifreleme; veri nesnelerinin ayrı ayrı şifrelenmesiyle sonuçlanmakta ve bu durum veri bütünlüğü ihlalleri ve alan değiştirme gibi sorunlara yol açmaktadır.
  • Paylaşım özelliklerini hedef alan saldırılar; vault bütünlüğünü ve gizliliğini tehlikeye atmaktadır.
  • Eski kodlarla geri uyumluluğu kullanan saldırılar; Bitwarden ve Dashlane’i hedef almaktadır.

Etkilenen Sistemler

Yapılan araştırma sonucunda, Bitwarden, LastPass ve Dashlane üzerinde toplamda 12 farklı saldırı tespit edilmiş; 1Password’ün de benzer zayıf noktaları olduğu bulunmuştur. Bu şifre yöneticileri, dünya genelinde 60 milyon kullanıcının ve 125,000 işletmenin güvenliğini tehdit etmektedir.

Çözüm ve Korunma

Her ne kadar şifre yöneticileri bu zafiyetleri azaltmak için çeşitli önlemler alsa da, kullanıcıların dikkatli olması önemlidir. Şu an için, Bitwarden, Dashlane ve LastPass, araştırmada belirtilen sorunları gidermek adına önlemler geliştirmiştir.
– Dashlane, sunucularının güvenliğini artıran önlemler almıştır, version 6.2544.1 güncellemesi ile eski şifreleme yöntemlerini devre dışı bırakmıştır.
– Bitwarden, tespit edilen yedi sorundan altısını halletmiş durumdadır.
– LastPass, veri bütünlüğünü artırmak için çalışmalarını sürdürmektedir.

Aksiyon

Kullanıcıların hemen şifre yöneticilerini güncellemeleri, potansiyel zafiyetleri azaltmak için gereklidir. Ayrıca, mümkünse şifrelerinizi mevcut uygulamalardan manuel olarak değiştirmeyi ve daha güçlü şifreler kullanmayı düşünmelisiniz. Şifre yöneticilerinin ayarlarını kontrol ederek, daha güvenli paylaşım ve kurtarma yöntemlerini tercih edin.

Apple, VoiceOver Parola Güvenlik Açığı’nı Düzeltmek İçin Kritik iOS ve iPadOS Güncellemelerini Yayınladı
Qualys, Güvenlik Açığı Riskini En Aza İndirmek için Gelişmiş İyileştirme Yetenekleri Ekliyor
Windows Server 2025’ten Sonra WINS Desteği Kaldırılıyor: Hazır mısınız?
Çin APT Gelsemium ‘Wolfsbane’ Linux Varyantını Kullanıyor
Milyonlarca Cihaz ‘PKFail’ Güvenli Önyükleme Baypas Sorununa Karşı Savunmasız
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale Üretim Uygulamalarınızı Kodu Durdurun: Geliştirici Odaklı Yapay Zeka İçin Bir Gerekçe
Sonraki Makale Acil: Polis Verisi Sızıntısı Sonrası Ödül Talep Eden Adam Tutuklandı

Sanal Medya

Son Eklenenler

OpenAI Hassas Verileri Koruma İçin Lockdown Modunu Tanıttı
Genel
RAM fiyatları yıl sonuna kadar iki katına çıkacak, indirimler eski stokları eritmekten kaynaklanıyor
Donanım
Meta Kendi Yapay Zeka Tabanlı Tıklama Tuzağı Haber Akışını Yaratıyor
Liste
Final Fantasy 7 Minigame Yenilikleriyle Seçim Heyecanı Sunuyor
Oyun
1972’de 8 inçlik, 80KB’lik disklerin patenti alındı
Donanım
GOG Nazi Sembolleriyle İlgili E-Posta Göndermek Üzere Özür Diledi
Liste