Giriş
Yeni bir araştırma, bulut tabanlı birçok şifre yöneticisinin, belirli koşullar altında şifre kurtarma saldırılarına maruz kalabileceğini ortaya koydu. Bu durum, hem bireysel kullanıcılar hem de kurumlar için büyük bir tehdit oluşturmaktadır.
Saldırı Nasıl Çalışıyor?
Araştırmaya göre, saldırılar “şifre yönetim sistemleri”nin sıfır bilgi şifreleme (Zero-Knowledge Encryption – ZKE) taahhütlerini sorgulamak amacıyla tasarlanmıştır. ZKE, bir tarafın bir sırrı diğerine açıklamadan bilgi sahibi olduğunu kanıtlama tekniğidir.
Bu saldırılar dört ana kategoriye ayrılmaktadır:
- Key Escrow yani anahtar devirme mekanizması üzerinden gerçekleştiren saldırılar; Bitwarden ve LastPass’teki gizlilik garantilerini tehlikeye atmaktadır.
- Hatalı item-level encryption yani öğe bazlı şifreleme; veri nesnelerinin ayrı ayrı şifrelenmesiyle sonuçlanmakta ve bu durum veri bütünlüğü ihlalleri ve alan değiştirme gibi sorunlara yol açmaktadır.
- Paylaşım özelliklerini hedef alan saldırılar; vault bütünlüğünü ve gizliliğini tehlikeye atmaktadır.
- Eski kodlarla geri uyumluluğu kullanan saldırılar; Bitwarden ve Dashlane’i hedef almaktadır.
Etkilenen Sistemler
Yapılan araştırma sonucunda, Bitwarden, LastPass ve Dashlane üzerinde toplamda 12 farklı saldırı tespit edilmiş; 1Password’ün de benzer zayıf noktaları olduğu bulunmuştur. Bu şifre yöneticileri, dünya genelinde 60 milyon kullanıcının ve 125,000 işletmenin güvenliğini tehdit etmektedir.
Çözüm ve Korunma
Her ne kadar şifre yöneticileri bu zafiyetleri azaltmak için çeşitli önlemler alsa da, kullanıcıların dikkatli olması önemlidir. Şu an için, Bitwarden, Dashlane ve LastPass, araştırmada belirtilen sorunları gidermek adına önlemler geliştirmiştir.
– Dashlane, sunucularının güvenliğini artıran önlemler almıştır, version 6.2544.1 güncellemesi ile eski şifreleme yöntemlerini devre dışı bırakmıştır.
– Bitwarden, tespit edilen yedi sorundan altısını halletmiş durumdadır.
– LastPass, veri bütünlüğünü artırmak için çalışmalarını sürdürmektedir.
Aksiyon
Kullanıcıların hemen şifre yöneticilerini güncellemeleri, potansiyel zafiyetleri azaltmak için gereklidir. Ayrıca, mümkünse şifrelerinizi mevcut uygulamalardan manuel olarak değiştirmeyi ve daha güçlü şifreler kullanmayı düşünmelisiniz. Şifre yöneticilerinin ayarlarını kontrol ederek, daha güvenli paylaşım ve kurtarma yöntemlerini tercih edin.
