LastPass eskiden en iyi parola yöneticilerinden biriydi, ancak son zamanlarda itibarı birden çok güvenlik ihlalinden etkilendi. Şimdi şirket sonuncusunun olduğunu doğruladı Gerçekten kötü.
LastPass, Ağustos ayında bir bilgisayar korsanının geliştirme ortamlarına erişip kaynak kodunu ve diğer özel bilgileri çalmayı başardığı bir güvenlik ihlali yaşadı. Aralık ayının sonlarında LastPass, bir bilgisayar korsanının bu verileri “müşterilerimizin bilgilerinin belirli öğelerine erişmek” için kullanabileceğini doğruladı. Şirket, şu ana kadar “belirli unsurların” ne anlama geldiğini netleştirmedi.
LastPass, “devam eden bir soruşturmanın” ardından saldırının tüm kapsamını açıkladı. Bilgisayar korsanı, “temel müşteri hesabı bilgileri ve şirket adları, son kullanıcı adları, fatura adresleri, e-posta adresleri, telefon numaraları ve IP adresleri dahil olmak üzere ilgili meta verileri” içeren Ağustos güvenlik ihlalinden elde edilen verileri kullanarak bir bulut depolama ortamına erişebildi. hangi müşterilerin LastPass hizmetine eriştiği. Görünüşe göre kredi kartı bilgilerine erişilmemiş.
En kötü yanı, bilgisayar korsanının kasa verilerini LastPass’tan başarıyla kopyalaması, ancak şirket bunu “yedek” olarak adlandırdı, bu nedenle verilerin ne kadar eski olduğu net değil. Şirket, bir kişinin ana parolasına dayalı 256 bit AES şifreleme kullandıkları için gerçek parolaların hala güvenli olduğunu iddia ediyor. Ancak, birinin ana parolası elde edilebiliyorsa (örneğin, LastPass oturum açma sayfasını taklit eden bir kimlik avı e-postası ile), şifrelenmiş verilerin kilidini açmak ve birinin tüm parolalarını görmek mümkün olabilir.
Ana parola olmasa bile, sızan veriler bazı LastPass kullanıcıları için zarar verici olabilir. İsimler ve fatura adresleri daha fazla saldırıda kullanılabilir ve saklanan şifreler için web sitesi adresleri şifrelenmemiştir. Sızan verilere sahip biri, parolalarla ilişkili tüm web sitelerini görebilir ve ardından bunu daha hedefli kimlik avı için kullanabilir. Örneğin, birisinin Bank of America’nın web sitesi için bir şifresi varsa, orada bir hesabı olabilir ve bankadan gelen hesap uyarıları gibi görünen kimlik avı e-postaları için mükemmel bir hedef olabilir.
Bu, LastPass gibi bir şifre yöneticisi için akla gelebilecek en kötü güvenlik olayıdır – şirketin sahip olduğu neredeyse tüm veriler kopyalanmıştır. İstemci tarafı şifreleme, her parolanın çalınmasını önledi, ancak daha önce belirtildiği gibi, bir hesap için bu verilerin kilidini açmak için tek gereken zayıf bir ana parola veya bir kimlik avı saldırısıdır. Bu, güvenlik sorunlarına ve diğer birçok yeni ihlale yanıt verme konusunda zayıf bir geçmiş performansla birlikte, LastPass’ı kullanmayı bırakmak için iyi bir gerekçedir.
LastPass kullanıyorsanız, ana şifrenizi mümkün olan en kısa sürede değiştirmelisiniz ve önümüzdeki haftalar ve aylar boyunca yarım yamalak görünen e-postalar için uyanık olmalısınız. LastPass’ta saklanan her şifreyi değiştirmeyi de düşünebilirsiniz – bilgisayar korsanları artık (muhtemelen) bu verilere sahiptir, şu anda kilidini açamazlar.
Kaynak: LastPass
