Önde gelen parola yöneticilerinden biri olan LastPass, bilgisayar korsanlarının müşterilerine ait çok sayıda kişisel bilginin yanı sıra şifreli ve kriptografik olarak karma hale getirilmiş parolaları ve müşteri kasalarında depolanan diğer verileri ele geçirdiğini söyledi.
Perşembe günü LastPass blogunda yayınlanan açıklama, Ağustos ayında açıklanan LastPass ihlaline yönelik çarpıcı bir güncellemeyi temsil ediyor. O sırada şirket, bir tehdit aktörünün güvenliği ihlal edilmiş tek bir geliştirici hesabı aracılığıyla parola yöneticisinin geliştirme ortamının bazı bölümlerine yetkisiz erişim elde ettiğini ve “kaynak kodunun bazı kısımlarını ve bazı özel LastPass teknik bilgilerini aldığını” söyledi. Şirket, o sırada müşterilerin ana parolalarının, şifrelenmiş parolalarının, kişisel bilgilerinin ve müşteri hesaplarında depolanan diğer verilerin etkilenmediğini söyledi.
Hem şifrelenmiş hem de kopyalanmamış hassas veriler
Perşembe günkü güncellemede şirket, bilgisayar korsanlarının müşterilerin LastPass hizmetlerine erişmek için kullandığı şirket adları, son kullanıcı adları, fatura adresleri, e-posta adresleri, telefon numaraları ve IP adresleri dahil olmak üzere kişisel bilgilere ve ilgili meta verilere eriştiğini söyledi. Bilgisayar korsanları ayrıca web sitesi URL’leri gibi şifrelenmemiş verileri ve web sitesi kullanıcı adları ve şifreleri, güvenli notlar ve formla doldurulmuş veriler gibi şifrelenmiş veri alanlarını içeren müşteri kasası verilerinin bir yedeğini de kopyaladı.
LastPass CEO’su Karim Toubba, Advanced Encryption Scheme ve üzerine biraz atıfta bulunarak, “Bu şifrelenmiş alanlar, 256-bit AES şifreleme ile korunuyor ve yalnızca Zero Knowledge mimarimiz kullanılarak her kullanıcının ana parolasından türetilen benzersiz bir şifreleme anahtarıyla çözülebilir.” güçlü olarak kabul edilen oran. Sıfır Bilgi, hizmet sağlayıcının şifresini çözmesinin imkansız olduğu depolama sistemlerini ifade eder. CEO şöyle devam etti:
Bir hatırlatma olarak, ana parola LastPass tarafından asla bilinmez ve LastPass tarafından saklanmaz veya saklanmaz. Verilerin şifrelenmesi ve şifresinin çözülmesi yalnızca yerel LastPass istemcisinde gerçekleştirilir. Sıfır Bilgi mimarimiz ve şifreleme algoritmalarımız hakkında daha fazla bilgi için lütfen buraya bakınız .
Karim Toubba – LastPass CEO
Güncelleme, şirketin şu ana kadar yaptığı soruşturmada, şifrelenmemiş kredi kartı verilerine erişildiğine dair bir gösterge olmadığını söyledi. LastPass, kredi kartı verilerini bir bütün olarak saklamaz ve depoladığı kredi kartı verileri, tehdit aktörünün eriştiğinden farklı bir bulut depolama ortamında tutulmaktadır.
Ağustos ayında açıklanan ve bilgisayar korsanlarının LastPass kaynak kodunu ve özel teknik bilgilerini çalmasına izin veren saldırı, San Francisco merkezli iki faktörlü kimlik doğrulama ve iletişim hizmetleri sağlayıcısı olan Twilio’nun ayrı bir ihlaliyle ilgili görünüyor. Bu ihlaldeki tehdit aktörü, Twilio’nun 163 müşterisinden veri çaldı. Twilio’yu vuran aynı kimlik hırsızları, LastPass dahil olmak üzere en az 136 başka şirketi de ihlal etti.
Perşembe günkü güncelleme, tehdit aktörünün LastPass’tan çalınan kaynak kodunu ve teknik bilgileri ayrı bir LastPass çalışanını hacklemek ve şirketin bulut tabanlı depolama hizmetindeki depolama birimlerine erişmek ve bunların şifresini çözmek için güvenlik kimlik bilgileri ve anahtarları elde etmek için kullanabileceğini söyledi.
“Bugüne kadar, bulut depolama erişim anahtarı ve ikili depolama kapsayıcısı şifre çözme anahtarları alındıktan sonra, tehdit aktörünün temel müşteri hesabı bilgilerini ve şirket adları, son kullanıcı adları, faturalandırma dahil ilgili meta verileri içeren bilgileri yedekten kopyaladığını belirledik. Toubba, “Müşterilerin LastPass hizmetine eriştiği adresler, e-posta adresleri, telefon numaraları ve IP adresleri” dedi. “Tehdit aktörü ayrıca, hem web sitesi URL’leri gibi şifrelenmemiş verileri hem de tamamen şifrelenmiş hassas alanları içeren tescilli bir ikili biçimde depolanan şifreli saklama kabından müşteri kasası verilerinin bir yedeğini de kopyalayabildi. web sitesi kullanıcı adları ve şifreleri, güvenli notlar ve formla doldurulmuş veriler.
LastPass temsilcileri, kaç müşterinin verilerinin kopyalandığını soran bir e-postaya yanıt vermedi.
Güvenliğinizi şimdi alın
Perşembe günkü güncelleme ayrıca, LastPass’ın ihlali takiben güvenliğini artırmak için aldığı çeşitli çareleri de listeledi. Adımlar, saldırıya uğramış geliştirmenin hizmet dışı bırakılmasını ve sıfırdan yeniden oluşturulmasını, yönetilen bir uç nokta algılama ve yanıt hizmetinin elde tutulmasını ve etkilenmiş olabilecek tüm ilgili kimlik bilgilerinin ve sertifikaların döndürülmesini içermekte.
LastPass tarafından depolanan verilerin hassasiyeti göz önüne alındığında, bu kadar geniş bir kişisel verinin elde edilmiş olması endişe vericidir. Kullanıcı kasalarının artık tehdit aktörünün elinde olması da endişe verici. Parola karmalarını kırmak çok büyük miktarda kaynak gerektirse de, özellikle tehdit aktörünün ne kadar metodik ve becerikli olduğu göz önüne alındığında, bu söz konusu bile olamaz.
LastPass müşterileri, ana parolalarını ve kasalarında saklanan tüm parolaları değiştirdiklerinden emin olmalıdır. Ayrıca, LastPass varsayılanını aşan ayarları kullandıklarından emin olmalıdırlar. Bu ayarlar, uzun, benzersiz ve rastgele oluşturulmuş ana parolaların kırılmasını olanaksız hale getirebilecek bir karma oluşturma şeması olan Parola Tabanlı Anahtar Türetme İşlevinin (PBKDF2) 100.100 yinelemesini kullanarak depolanan parolaları karma haline getirir. 100.100 yineleme, OWASP’nin LastPass tarafından kullanılan SHA256 karma algoritmasıyla birlikte PBKDF2 için önerdiği 310.000 yineleme eşiğinin ne yazık ki altında. LastPass müşterileri, hesapları için geçerli PBKDF2 yineleme sayısını buradan kontrol edebilir.
LastPass kullanıcısı olsun ya da olmasın, herkes Pwned Oldum mu? ile kendilerini etkileyen ihlalleri bir an önce öğrenmeleri iyi olacaktır.
LastPass müşterileri, LastPass’tan veya hassas verileri arayan diğer hizmetlerden geldiği iddia edilen kimlik avı e-postalarına ve telefon aramalarına ve bunların güvenliği ihlal edilmiş kişisel verilerini kullanan diğer dolandırıcılıklara karşı ekstra tetikte olmalıdır. Şirketin ayrıca, LastPass Birleşik Oturum Açma Hizmetlerini uygulayan ticari müşteriler için özel tavsiyeleri vermekte.