Ünlü LastPass şifre yönetimi hizmeti kötü durumda. Amerikan şirketinin faaliyeti, müşterilerinin şifrelerini güvence altına alarak veri sızıntılarından korumakken, firma bir bilgisayar hack’inin ardından felakete dönüşen bir kargaşa içindedir. Saldırı belgelendi bile kablolu 2022’nin en kötü hack’lerinin başında.
Dört günlük izinsiz giriş
LastPass için sıkıntı Ağustos ayında başladı. Firma bu sefer pişmanlık ilk bilgisayar girişi. Şirket daha sonra ürün ve hizmetlerinin normal çalıştığını belirterek durumu sakinleştirmeye çalışırsa, ancak kaynak kodunun bazı bölümlerinin sızdırıldığını kabul eder.
Ardından, daha sonraki bir mesajda LastPass, saldırganın müşteri verilerine veya şifreli şifre kasalarına olası erişim kanıtı olmaksızın ağında dört gün kalabildiğini açıkladı.
Araştırmanın ardından şirket, kötü niyetli bilgisayar korsanının geliştirici kılığına girerek çok faktörlü kimlik doğrulamayı atlayarak ağa girebildiğine inanıyor.
Büyük veri sızıntısı
Ancak Kasım ayında ve Aralık sonunda gönderilen iki yeni mesaj, olayın LastPass için henüz bitmediğini kanıtlıyor.
Noel’den birkaç gün önce yayınlanan son mesaj en endişe verici olanı. Bilgisayar korsanı, üçüncü taraf bir bulut depolama hizmeti aracılığıyla, e-posta adresleri, IP adresleri veya telefon numaraları gibi müşteri verilerinin yanı sıra şifrelenmiş şifre kasalarını ele geçirmeyi başardı.
LastPass tarafından kabul edildiği gibi, saldırgan bu nedenle olası tüm kombinasyonları anında test ederek parolaları kurtarmaya çalışabilir. Kullanılan şifreleme (AES 256 bit) nedeniyle, parola gücü açısından önerileri takip eden İnternet kullanıcıları için bunu yapmak “son derece zor” olacaktır, ancak şirket bunu belirtir. LastPass, saldırganın “ana parolanızı tahmin etmesinin” “milyonlarca yıl” süreceğini ekliyor.
tartışma
Henüz sektördeki birkaç uzman tarafından tartışılan güven verici iddialar. Hedefin şifresini belirlemek için milyonlarca yıllık hesaplamadan söz edilmesi, “kullanıcının 12 karakterlik şifresinin tamamen rastgele bir işlem tarafından üretildiği varsayımına dayanıyor gibi görünüyor” diyor. jeffrey goldberg, rakip bir hizmet olan 1Password’ün güvenlik patronu. Ancak, “insanlar tarafından oluşturulan şifreler bu gereksinimi karşılamaktan uzaktır” diye ekliyor.
tarafından belirtildiği gibi Sınırgüvenlik araştırmacısı gibi diğer uzmanlar Vladimir Palant, LastPass’ın iletişimindeki eksiklikleri de patlattı. İkincisi için, şirketin argümanı, her şeyden önce, güçlü bir ana şifre kullanmayacak olan müşterilerini herhangi bir aksilik için suçlamayı amaçlıyor.
İkincisi, LastPass tarafından üçüncü taraf hizmetleri için şifrelerini acilen değiştirmeye davet edilir.
Tekrarlayan problemler
LastPass’in bu kadar eleştirilmesinin nedeni çok sayıda bilgisayar güvenlik sorunu biriktirmeye başlamasıdır. Göre Jeremy GosneyBilgisayar güvenliği araştırmacıları topluluğunu görmezden gelmekle suçladığı firma, 10 yılda yedi büyük güvenlik ihlalinin kurbanı oldu.
LastPass’a göre, örneğin 2021’de, bazı kullanıcıların ana şifreleri bir kimlik bilgisi doldurma saldırısının ardından açığa çıktı. Şirket bir yıl önce büyük bir çöküş yaşamıştı. 2019’da da tıpkı 2017 ve 2016’da olduğu gibi büyük bir güvenlik sorunu keşfedildi.
LastPass hizmetine olan güvenin en hafif tabirle sarsıldığını söylemek yeterli. tarafından kullanılması önerilen bilgisayar güvenliği için temel bir araç olan parola yöneticisini değiştirmeye yönelik çağrıları ve kılavuzları açıklar.Ansi.
