Önüne bak, Son Geçiş hesap sahipleri. Bu hafta bir blog gönderisinde detaylı bir şekilde açıklanan bu senenin başlarında gerçekleşen bir hack’le ilgili yeni bilgiler yayınlanıyor. LastPass, bir bilgisayar korsanının yalnızca bir geliştirici kontrol ortamına ve bazı kaynak kodlarına erişim kazandığını söylediğinden, o zamanlar hack’in bizim için tam olarak haber kıymeti yoktu (biz bir tek bir Android bloguyuz). Sadece, bu hack sebebiyle, kısa süre ilkin hacker’ın bir LassPass çalışanının hesabını ele geçirebildiği ve oldukça fakat oldukça daha fazlasına erişebildiği bir vaka gerçekleşti.
LastPass tarafınca detaylandırıldığı suretiyle, birisi satın alan kasası verilerinin şifrelenmiş yedek kopyalarına erişim sağlamayı başardı. Bu kasa verileri, bir kullanıcının hizmetle depolayabileceği her şeyi ihtiva eder. Hesap kullanıcı adlarından, şifrelerden, banka bilgilerinden ve öteki her şeyden bahsediyoruz. Bir bilgisayar korsanı için ana damar olabilir.
LastPass’a gore, bu kasalar ciddi bir güvenlikle şifrelenmiştir, doğrusu bir kullanıcının ana parolası haricinde hiçbir şey bu çalınan verilere erişemez. Her neyse ki, bu ana parolalar LastPass tarafınca saklanmaz, bundan dolayı bilgisayar korsanı kasaya kaba kuvvet uygulayamadığı sürece (doğru bir parolayı tahmin ederek), en kırılgan kullanıcı verileri güvende kalmalıdır.
Güvenlik uzmanı değilim, bu yüzden LastPass’ın neler bulunduğunu daha iyi açıklamasına izin vereceğim.
Bugüne dek, bulut depolama erişim anahtarı ve ikili depolama kapsayıcısı gizyazı çözme anahtarları alındıktan sonrasında, tehdit aktörünün temel satın alan hesabı bilgilerini ve şirket adları, son kullanıcı adları, satmaca adresleri şeklinde ilgili meta verileri içeren detayları yedekten kopyaladığını belirledik. müşterilerin LastPass hizmetine ulaştığı e-posta adresleri, telefon numaraları ve IP adresleri.
Tehdit aktörü ek olarak, hem internet sayfası URL’leri şeklinde şifrelenmemiş verileri hem de internet sayfası kullanıcı adları şeklinde tamamen şifrelenmiş kırılgan alanları içeren tescilli bir ikili şekilde depolanan şifreli depolama kabından satın alan kasası verilerinin bir yedeğini de kopyalayabildi. ve şifreler, güvenli notlar ve formla doldurulmuş veriler. Bu şifrelenmiş alanlar, 256 bit AES şifreleme ile korunur ve yalnızca Zero Knowledge mimarimiz kullanılarak her kullanıcının ana parolasından türetilen benzersiz bir şifreleme anahtarıyla çözülebilir. Bir hatırlatma olarak, ana parola LastPass tarafınca asla kim bilir ve LastPass tarafınca saklanmaz yada saklanmaz. Verilerin şifrelenmesi ve şifresinin çözülmesi yalnızca mahalli LastPass istemcisinde gerçekleştirilir.
Şifrelenmemiş herhangi bir kredi kartı verisine erişildiğine dair bir kanıt yoktur. LastPass kredi kartı numaralarının tamamını saklamaz ve kredi kartı detayları bu bulut depolama ortamında arşivlenmez.
Ne yapmalısın
Bir LastPass kullanıcısı, bir ana parola seçerken firmanın en iyi uygulamalarını kullandığı sürece, şirket “genel olarak mevcut parola kırma teknolojisini kullanarak ana parolanızı tahmin etmenin milyonlarca yıl süreceğini” söylüyor. Bu itimat verici. Sadece bilgileriniz mevzusunda birazcık endişeniz var ise, şifrelerinizi değiştirmeye adım atmak isteyebilirsiniz. Bu, aşırı güvenli olmak istiyorsanız.
Ne olduğu ve LastPass’in bu mevzuda ne yapmış olduğu hakkında daha çok data için aşağıdaki bağlantıyı takip edin.
// Son Geçiş