LastPass kullanıcıları: Bilgileriniz, verileriniz ve şifreleriniz artık bilgisayar korsanlarının elinde. Popüler parola yöneticisi LastPass, Ağustos ayında ifşa edilen hack’in sanıldığından çok daha kötü olduğunu söylüyor. LastPass kullanıyorsanız tüm parolalarınızı değiştirin ve 2FA açın.
Bana göre lastpass benzeri cloud parola yöneticilerini kullanmak tam bir delilik, bunun yerine en iyisi kendi cihazınız içerisinde bir parola yönetici kullanmak, bu bir usb disk olur veya kendinize özel bir uzak cihaz üzerinde bu sunucu da olabilir onun içerisinde saklamak. Ayrıca Apple, Google ve Firefox gibi tarayıcıların kendi parola yöneticileri lastpass’dan hem daha kullanışlı hem de daha güvenli çünkü bu şirketler büyük şirketler ve güvenlik için daha çok çalışıyorlar.
Ağustos 2022’deki LastPass güvenlik ihlali, şirket tarafından daha önce açıklanandan daha ciddi olabilir.
Birincisi: “İhlal edildik ancak hiçbir müşteri verisine erişilmedi”, demişlerdi.
Sonra: “Tamam, bazı müşteri verilerine erişildi, ancak şifre kasalarına erişilemedi”, dediler.
Şimdi ise: “Müşteri şifre kasaları saldırgan tarafından kopyalandı ama merak etmeyin, kasanızı kırmak zor olacak”, diyorlar.
LastPass’ın veri ihlali bildirimini incelerken dile getirdiğimiz gibi nadir görülen (yazım hatası değil) bir durumda, kötü bir kişinin müşterilerin şifreli parola kasalarına erişimi varsa, “tek ihtiyaçları olan bir kurbanın ana parolasıdır.” Açığa çıkan veya güvenliği ihlal edilmiş bir parola kasası, yalnızca onu karıştırmak için kullanılan şifreleme ve parola kadar güçlüdür.
Bir LastPass müşterisi olarak yapabileceğiniz en iyi şey, mevcut LastPass ana parolanızı, not edilip güvenli bir yerde saklanan yeni ve benzersiz bir parola (veya parola) ile değiştirmektir. Bu, mevcut LastPass kasanızın güvende olduğu anlamına gelir.
LastPass şifre kasanızın tehlikeye girebileceğini düşünüyorsanız – ana şifrenizin zayıf olması veya onu başka bir yerde kullanmış olmanız gibi – LastPass kasanızda saklanan şifreleri değiştirmeye başlamalısınız. E-posta hesaplarınız, cep telefonu plan hesabınız, banka hesaplarınız ve sosyal medya hesaplarınız gibi en kritik hesaplarla başlayın ve öncelik listesinde ilerleyin.
İyi haber şu ki, iki faktörlü kimlik doğrulama ile korunan herhangi bir hesap(2FA), bir saldırganın, telefon açılır penceresi veya kısa mesaj veya e-posta kodu gibi ikinci faktör olmadan hesaplarınıza erişmesini çok daha zorlaştıracaktır. Bu nedenle, önce e-posta hesaplarınız ve cep telefonu planı hesaplarınız gibi bu ikinci faktör hesaplarının güvenliğini sağlamanız önemlidir.
Bu hafta popüler parola yönetimi hizmeti, kötü niyetli kişilerin önceki izinsiz girişten alınan verileri kullanarak müşterilerine ait şifreli parola kasaları da dahil olmak üzere çok sayıda kişisel bilgi ele geçirdiğini ortaya çıkardı.
Şirket ayrıca, “temel müşteri hesabı bilgileri ve şirket adları, son kullanıcı adları, fatura adresleri, e-posta adresleri, telefon numaraları ve müşterilerin LastPass hizmetine eriştiği IP adresleri dahil olmak üzere ilgili meta veriler” çalındığını söyledi.
Halen devam etmekte olan bir soruşturma konusu olan Ağustos 2022 olayı, kötü niyetli kişilerin güvenliği ihlal edilmiş tek bir çalışan hesabı aracılığıyla geliştirme ortamından kaynak koduna ve özel teknik bilgilere erişmesiyle ilgiliydi.
LastPass, bunun kimliği belirsiz saldırganın, üretim ortamından fiziksel olarak ayrı olduğunu vurguladığı bulut tabanlı bir depolama hizmetinde depolanan bir yedekten bilgi çıkarmak için daha sonra yararlanılan kimlik bilgilerini ve anahtarları almasına izin verdiğini söyledi.
Üstelik, saldırganın müşteri kasası verilerini şifreli depolama hizmetinden kopyaladığı söyleniyor. Hem web sitesi URL’leri gibi şifrelenmemiş verileri hem de web sitesi kullanıcı adları ve şifreleri, güvenli notlar ve formla doldurulmuş veriler gibi tamamen şifrelenmiş alanları içeren “tescilli bir ikili biçimde” depolanır.
Şirketin açıkladığı bu alanlar, 256 bit AES şifreleme kullanılarak korunuyor ve yalnızca kullanıcıların cihazlarındaki ana paroladan türetilen bir anahtarla çözülebilir .
LastPass, bu bilgiler bulut depolama kapsayıcısında arşivlenmediğinden, güvenlik açığının şifrelenmemiş kredi kartı verilerine erişimi içermediğini doğruladı.
Şirket, yedeğin ne kadar yeni olduğunu açıklamadı, ancak tehdit aktörünün “ana şifrenizi tahmin etmek ve aldıkları kasa verilerinin kopyalarını çözmek için kaba kuvvet kullanmaya çalışabileceği” ve ayrıca sosyal mühendislikle müşterileri hedef alabileceği konusunda uyardı. kimlik bilgisi doldurma saldırıları.
Bu aşamada, kaba kuvvet saldırılarının ana şifreleri tahmin etme başarısının, güçleriyle ters orantılı olduğunu, yani şifreyi tahmin etmek ne kadar kolaysa, onu kırmak için gereken girişim sayısının o kadar az olduğunu belirtmekte fayda var.
LastPass, “Ana parolanızı yeniden kullanırsanız ve bu parolanın güvenliği ihlal edilmişse, bir tehdit aktörü, hesabınıza erişmeye çalışmak için zaten internette bulunan güvenliği ihlal edilmiş kimlik bilgilerinin dökümlerini kullanabilir.”
Web sitesi URL’lerinin düz metin halinde olması, ana parolanın başarılı bir şekilde şifresinin çözülmesinin, saldırganlara belirli bir kullanıcının hesap sahibi olduğu web siteleri hakkında fikir verebileceği ve ek kimlik avı veya kimlik bilgisi hırsızlığı saldırıları düzenlemelerine olanak sağlayabileceği anlamına gelir.
Şirket ayrıca, ticari müşterilerinin küçük bir alt kümesini (ki bu yüzde 3’ten daha azdır) hesap yapılandırmalarına göre belirli belirtilmemiş eylemleri gerçekleştirmeleri için bilgilendirdiğini söyledi.
Gelişme, Okta’nın tehdit aktörlerinin GitHub’da barındırılan Workforce Identity Cloud (WIC) depolarına yetkisiz erişim elde ettiğini ve kaynak kodunu kopyaladığını kabul etmesinden günler sonra geldi.
Kaynaklar: