Getty Resimleri
Önde gelen parola yöneticilerinden önde gelen LastPass, bilgisayar korsanlarının müşterilerine ilişkin oldukca sayıda kişisel bilginin yanı sıra şifreli ve kriptografik olarak karma hale getirilmiş parolalar ve alan kişi kasalarında depolanan öteki verileri ele geçirdiğini söylemiş oldu.
Perşembe günü gösterilen izahat, Ağustos ayında açıklanan LastPass ihlaline yönelik çarpıcı bir güncellemeyi temsil ediyor. O sırada şirket, bir tehdit aktörünün güvenliği ihlal edilmiş tek bir geliştirici hesabı vesilesiyle parola yöneticisinin geliştirme ortamının bazı bölümlerine yetkisiz erişim elde ettiğini ve “kaynak kodunun bazı kısımlarını ve bazı hususi LastPass teknik bilgilerini aldığını” söylemiş oldu. Şirket, o sırada müşterilerin ana parolalarının, şifrelenmiş parolalarının, kişisel bilgilerinin ve alan kişi hesaplarında depolanan öteki verilerin etkilenmediğini söylemiş oldu.
Hem şifrelenmiş hem de kopyalanmamış duyarlı veriler
Perşembe günkü güncellemede şirket, bilgisayar korsanlarının müşterilerin LastPass hizmetlerine erişmek için kullandığı şirket adları, son kullanıcı adları, satmaca adresleri, e-posta adresleri, telefon numaraları ve IP adresleri dahil olmak suretiyle kişisel bilgilere ve ilgili meta verilere eriştiğini söylemiş oldu. Bilgisayar korsanları ek olarak internet sayfası URL’leri şeklinde şifrelenmemiş verileri ve internet sayfası kullanıcı adları ve şifreleri, güvenli notlar ve formla doldurulmuş veriler şeklinde şifrelenmiş veri alanlarını içeren alan kişi kasası verilerinin bir yedeğini de kopyaladı.
LastPass CEO’su Karim Toubba, Advanced Encryption Scheme ve birazcık atıfta bulunarak, “Bu şifrelenmiş alanlar, 256-bit AES şifreleme ile korunuyor ve yalnızca Zero Knowledge mimarimiz kullanılarak her kullanıcının ana parolasından türetilen benzersiz bir şifreleme anahtarıyla çözülebilir.” kuvvetli olarak kabul edilen oran. Sıfır Informasyon, hizmet sağlayıcının şifresini çözmesinin olanaksız olduğu depolama sistemlerini ifade eder. CEO şöyleki devam etti:
Bir hatırlatma olarak, ana parola LastPass tarafınca asla kim bilir ve LastPass tarafınca saklanmaz yada saklanmaz. Verilerin şifrelenmesi ve şifresinin çözülmesi yalnızca mahalli LastPass istemcisinde gerçekleştirilir. Sıfır Informasyon mimarimiz ve şifreleme algoritmalarımız hakkında daha çok data için lütfen buraya bakın.
Güncelleme, firmanın şu ana kadar yapmış olduğu soruşturmada, şifrelenmemiş kredi kartı verilerine erişildiğine dair bir gösterge olmadığını söylemiş oldu. LastPass, kredi kartı verilerini bir tüm olarak saklamaz ve depoladığı kredi kartı verileri, tehdit aktörünün eriştiğinden değişik bir bulut depolama ortamında tutulur.
Ağustos ayında açıklanan ve bilgisayar korsanlarının LastPass kaynak kodunu ve hususi teknik bilgilerini çalmasına müsaade eden hücum, San Francisco merkezli iki faktörlü kimlik doğrulama ve kontakt hizmetleri sağlayıcısı olan Twilio’nun ayrı bir ihlaliyle ilgili görünüyor. Bu ihlaldeki tehdit aktörü, Twilio’nun 163 müşterisinden veri çaldı. Twilio’yu vuran aynı kimlik hırsızları, LastPass dahil olmak suretiyle minimum 136 başka şirketi de ihlal etti.
Perşembe günkü güncelleme, tehdit aktörünün LastPass’tan çalınan kaynak kodunu ve teknik detayları ayrı bir LastPass çalışanını hacklemek ve firmanın bulut tabanlı depolama hizmetindeki depolama birimlerine erişmek ve bunların şifresini çözmek için güvenlik kimlik detayları ve anahtarları elde etmek için kullanabileceğini söylemiş oldu.
“Bugüne dek, bulut depolama erişim anahtarı ve ikili depolama kapsayıcısı gizyazı çözme anahtarları alındıktan sonrasında, tehdit aktörünün temel alan kişi hesabı bilgilerini ve şirket adları, son kullanıcı adları, faturalandırma dahil ilgili meta verileri içeren detayları yedekten kopyaladığını belirledik. Toubba, “Müşterilerin LastPass hizmetine ulaştığı adresler, e-posta adresleri, telefon numaraları ve IP adresleri” dedi. “Tehdit aktörü ek olarak, hem internet sayfası URL’leri şeklinde şifrelenmemiş verileri hem de tamamen şifrelenmiş duyarlı alanları içeren tescilli bir ikili şekilde depolanan şifreli gizleme kabından alan kişi kasası verilerinin bir yedeğini de kopyalayabildi. internet sayfası kullanıcı adları ve şifreleri, güvenli notlar ve formla doldurulmuş veriler.
LastPass temsilcileri, kaç müşterinin verilerinin kopyalandığını soran bir e-postaya cevap vermedi.
Güvenliğinizi şimdi destekleyin
Perşembe günkü güncelleme ek olarak, LastPass’ın ihlali takiben güvenliğini çoğaltmak için almış olduğu çeşitli çareleri de listeledi. Adımlar, saldırıya uğramış geliştirmenin hizmet dışı bırakılmasını ve sıfırdan tekrardan oluşturulmasını, yönetilen bir uç nokta idrak etme ve cevap hizmetinin elde tutulmasını ve etkilenmiş olabilecek tüm ilgili kimlik bilgilerinin ve sertifikaların döndürülmesini ihtiva eder.
LastPass tarafınca depolanan verilerin hassasiyeti göz önüne alındığında, bu kadar geniş bir kişisel verinin elde edilmiş olması kaygı vericidir. Parola karmalarını kırmak oldukca büyük oranda kaynak gerektirse de, bilhassa tehdit aktörünün ne kadar metodik ve becerikli olduğu göz önüne alındığında, bu söz mevzusu bile olması imkansız.
LastPass müşterileri, ana parolalarını ve kasalarında gizlenen tüm parolaları değiştirdiklerinden güvenilir olmalıdır. Ek olarak, LastPass varsayılanını aşan ayarları kullandıklarından güvenilir olmalıdırlar. Bu ayarlar, uzun, benzersiz ve rastgele oluşturulmuş ana parolaların kırılmasını olanaksız hale getirebilecek bir karma oluşturma şeması olan Parola Tabanlı Anahtar Türetme İşlevinin (PBKDF2) 100.100 yinelemesini kullanarak depolanan parolaları karma haline getirir. 100.100 yineleme, OWASP’nin LastPass tarafınca kullanılan SHA256 karma algoritması ile beraber PBKDF2 için önerilmiş olduğu 310.000 yineleme eşiğinin ne yazık ki altında. LastPass müşterileri, hesapları için geçerli PBKDF2 yineleme sayısını buradan denetim edebilir.
LastPass müşterileri ek olarak, LastPass’tan yada duyarlı verileri arayan öteki hizmetlerden geldiği iddia edilen kimlik avı e-postalarına ve telefon aramalarına ve bunların güvenliği ihlal edilmiş kişisel verilerini kullanan öteki dolandırıcılıklara karşı extra tetikte olmalıdır. Firmanın ek olarak, LastPass Birleşik Oturum Açma Hizmetlerini tatbik eden ticari müşteriler için hususi tavsiyeleri vardır.