A büyük hack şifre yöneticisi devi LastPass’i etkileyen, ilk düşünülenden çok daha kötü görünüyor. LastPass CEO’su Karim Toubba, Noel’den iki gün önce yaptığı bir güncelleme duyurusunda, saldırganların müşteri kasası verilerinin bir yedeğini başarıyla kopyalayabildiklerini itiraf etti. Bu veriler ellerindeyken, saldırganlar, bir kullanıcının ana parolasını tahmin etmenin bir yolunu bulabilirlerse, potansiyel olarak kullanıcıların tüm parola koleksiyonlarına ve LastPass ile depolanan diğer verilere erişebilirler.

Kalp krizlerinde ani bir artışı önlemeye çalışan Toubba, şirketin varsayılan ayarlarını ve en iyi uygulamalarını kullanan müşteriler için ana parolaları kaba kuvvetle tahmin etmenin “son derece zor” olacağı konusunda uyardı. CEO’ya göre, bu kullanıcılar için, saldırganların “genel olarak mevcut parola kırma teknolojisini” kullanarak bu kodları kırması “milyonlarca yıl” alabilir. LastPass, kullanıcıların ana parolalarına erişimi olmaması gerektiğini söylüyor.

Bu rahatlatıcı güvence, daha zayıf ana parolalara sahip kullanıcılar için geçerli olmayabilir. Bu gibi durumlarda LastPass, kullanıcılara depoladıkları tüm web sitelerinin şifrelerini değiştirmelerini tavsiye etti. hesap bilgilerinin çılgınca sıfırlandığı meşakkatli, zahmetli bir günün sizi beklediği anlamına gelebilir. Ve güçlü ana parolaların tahmin edilmesinin zor olabileceği doğru olsa da, en güçlü parolalar bile kullanıldıkları takdirde risk altında olabilir. daha önce ihlal edilen başka bir site. Orada hiçbir kıtlık sadece karanlık web pazarlarında oturan önceden saldırıya uğramış şifreler. Etkilenen LastPass müşterileri ayrıca kendilerini, krallığa anahtarlarını farkında olmadan teslim etmeleri için kandırmaya çalışan can sıkıcı kimlik avı girişimlerinin içinde bulabilirler.

Toubba, şifrelere ek olarak, çalınan kasa verilerinin şifrelenmemiş URL’lerle birlikte “web sitesi kullanıcı adları ve şifreleri, güvenli notlar ve formla doldurulmuş veriler gibi tamamen şifrelenmiş hassas alanlar” içerdiğini söyledi. Sofistike saldırılar, The Verge notlardaha ikna edici kimlik avı kampanyaları oluşturmak için bir kullanıcının ziyaret ettiği siteler aracılığıyla aktarılan bilgileri kullanabilir.

LastPass, Gizmodo’nun yorum talebine hemen yanıt vermedi.

Birincil hizmeti parolaları tek bir güvenli yerde toplamak ve korumak olan bir şirket için bu, olabilecek en kötü durum. Önce LastPass ifşa geçen ayın sonlarında bir blog gönderisindeki son saldırılar. O sırada şirket şifreli bir şekilde saldırganın daha fazla ayrıntı vermeden “müşteri bilgilerinin” “belirli öğelerine” erişebildiğini söyledi. Şirket, olaydan hiçbir müşteri şifresinin etkilenmediğini söyleyerek devam etti. teknik olarak doğru, ama artık bildiğimiz gibi, hikayenin sadece bir kısmını anlatıyor.

İşleri daha da kötüleştiren bu en son saldırı, görünüşe göre mümkün oldu sadece altı ay önce meydana gelen önceki bir olayla. Bu durumda şirket, saldırganın geliştirme ortamından “kaynak kodunu ve teknik bilgileri” çaldığını ve kimlik bilgilerini almak için bir çalışanı hedef almak için kullandığını söylüyor.

Bakın, kullanıcıların düzinelerce kimlik bilgisine sahip olmasını gerektiren dijital bir dünyada, parola yöneticileri güvenlik için giderek daha fazla bir zorunluluk haline geliyor. Aynı zamanda, hassas bilgilerin bu yüksek konsantrasyonu, şifre yöneticisi sitelerini en ağız sulandıranlardan bazıları kötü aktörler için hedefler. Son Geçiş Bunun geldiğini görmeliydim ve bulgular mevcut olsaydı, bu ayrıntıları müşterilere daha önce açıklamalıydı.

Değerli kodlarınızı ücretsiz şifre yöneticisi LastPass’ta saklamayı planlıyorsanız, size kişisel tavsiyem şu olacaktır: belki bunu tekrar düşünün. Ve eğer kullanırsan, belki bir alternatif düşün.

Neden? Niye? Peki, şifre yöneticisi az önce saldırıya uğradı. Tekrar. Bu iki kez altı ay yapar. Dijital anahtarlarınızı güvende tutması gereken bir şirket için harika değil!

İçinde Blog yazısı Çarşamba günü yayınlanan LastPass, yakın tarihli bir olay sırasında bir bilgisayar korsanının “müşteri bilgilerinin” “belirli öğelerine” erişebildiğini itiraf etti. Ne tür bilgiler? belirsiz. Çok yardımcı değil!

LastPass, olaydan hiçbir müşterinin parolasının etkilenmediğini iddia ediyor: “LastPass’ın Sıfır Bilgi sayesinde müşterilerimizin şifreleri güvenli bir şekilde şifrelenmiş halde kalır mimari.” Ancak, şirket ayrıca bilgisayar korsanı tarafından hangi müşteri bilgilerinin görüntülendiğinden (ve muhtemelen çalındığından) tam olarak emin olmadığı ima edildi. Olayın kapsamını anlamak ve hangi özel bilgilere erişildiğini belirlemek için özenle çalışıyoruz” dedi. Blogda LastPass CEO’su Karim Toubba yazdı.

Toubba, “Şeffaflık taahhüdümüze uygun olarak, sizi ekibimizin şu anda araştırdığı bir güvenlik olayı hakkında bilgilendirmek istedim” diye yazdı.. “Kısa bir süre önce, şu anda hem LastPass hem de bağlı kuruluşu GoTo tarafından paylaşılan bir üçüncü taraf bulut depolama hizmetinde olağandışı etkinlik tespit ettik. Hemen bir soruşturma başlattık, önde gelen bir güvenlik firması olan Mandiant’ı görevlendirdik ve kolluk kuvvetlerini uyardık.”

Bu en son olay aslında bir sonucu öncesi LastPass güvenliği olay Ağustos ayında gerçekleşti. Bu olay sırasında, LastPass yetkilileri “LastPass geliştirme ortamının bazı bölümlerinde olağandışı faaliyetler tespit etti.” O sırada şirket, olayın herhangi bir “müşteri verilerini veya şifreli şifre kasalarını” ifşa ettiğine dair “hiçbir kanıt” olmadığını söyledi. Ancak görünen o ki, sorumlu kim o olay, LastPass’ı yeniden hacklemeyi başardı ve bazı müşteri verilerini ele geçirdi – yine de, ne tür olduğundan emin değiliz.

Toubba, “Ağustos 2022 olayında elde edilen bilgileri kullanan yetkisiz bir kişinin müşterilerimizin bilgilerinin belirli öğelerine erişebildiğini belirledik” diyor. Gizmodo, daha fazla ayrıntı için LastPass’a ulaştı ve yanıt verirlerse bu hikayeyi güncelleyecek.

Elbette bu, LastPass’in güvenlik sorunlarıyla ilk kez karşılaşması değil. Uzun süredir devam eden bir modelin parçası. Tşirket bir çeşit siber hatadan mustarip görünüyor yıl veya iki. gizemli birinden güvenlik sorunu 2011’de bir bilgisayar korsanlığı bölümüne geri dönün 2015 yılında ile güvenlik açıkları 2016, 2017 ve 2019’da keşfedilen LastPass, sorunlardan nasibini aldı. Bu son bölüm, kuşatılmış tarihine katkıda bulunuyor. Kimse güvenliğin kolay olduğunu söylemiyor, ancak tüm işi parolalarınızı güvende tutmak olan bir şirketin bunu daha iyi halledebileceğini umarsınız.