LastPass hala uğraşıyor geçen yılki veri ihlali, bazı müşterilerin kişisel bilgilerini ve şifrelerini ifşa eden. Ancak bu hikayeyle ilgili yeni bilgiler, bize neden her bilgisayar kullanıcısının ve işletmenin güvenliği ciddiye alması gerektiğini hatırlatıyor.
28 Şubat’ta LastPass sonunda açıkladı veri ihlalinin nasıl gerçekleştiği. Bir bilgisayar korsanı, çalışanın ana parolasını toplamak için bir keylogger yükleyerek başlangıçta bir DevOps mühendisinin kişisel ev bilgisayarındaki “savunmasız üçüncü taraf medya yazılımını” hedef aldı. Bu DevOp, şirket kasasına erişebilen dört LastPass çalışanından biri olduğu için bunun hedefli bir saldırı olduğunu varsaymak güvenlidir.
Evet, bu saldırıda hedef alınan çalışanın kurumsal bir dizüstü bilgisayarı vardı (o zamandan beri değiştirildi). Bazı raporlar, çalışanın iş kaynaklarına erişmek için kişisel bilgisayarını kullandığını belirtir, ancak bu LastPass tarafından onaylanmamıştır.
İşte ilginç olan; Bu saldırıda yararlanılan “savunmasız üçüncü taraf medya yazılımı” Plex’ti. Plex’in katılımıyla ilgili ilk haberler, sızıntı yapanların izniyle geldi (aracılığıyla Ars Teknik), ancak daha sonra 1 Mart’ta Plex tarafından onaylandı.
Ne zaman Ars Teknik Rapor çıktı, Plex, LastPass tarafından kendisiyle iletişime geçilmediğini söyledi. Ancak işler değişti—LastPass, Plex’e istismar edilen güvenlik açığının CVE-2020-5741. Plex söyler Geek’i İncele Bu istismarın, LastPass ihlalinden en az 2,5 yıl önce, Mayıs 2020’de ifşa edildiğini ve yamalandığını.
Açıkçası, hedeflenen LastPass çalışanı, Plex sunucularını en az iki yıl boyunca güncellemeyi ihmal etti. CVE-2020-5741 açığı yamalandığından beri yaklaşık 75 Plex güncellemesi yapıldı. Bu, hem kişisel hem de kurumsal güvenlik açısından ciddi bir başarısızlıktır; Plex’in belirttiği gibi, güncelleme bildirimleri “yönetici kullanıcı arayüzü aracılığıyla” sağlanır ve otomatik güncellemeler oldukça yaygındır.
Ama bir bakıma, bu başarısızlık anlaşılabilir. Bazı Plex güncellemelerinin manuel olarak yapılması gerekir ve herhangi bir Plex kullanıcısının bildiği gibi, bu güncellemeler sorunlara yol açabilir veya sizi medya kitaplığınızın meta verilerinin bir kısmını yeniden yapmaya zorlayabilir. Bu saldırıda hedef alınan LastPass çalışanı, bir güncellemenin manuel olarak yüklenmesi gerektiğini fark etmemiş olabilir (yine de güncellemeyi kasıtlı olarak yapmaktan kaçınma ihtimalleri vardır).
Bunu bir ders olarak alın; bir ağın herhangi bir bölümü sizin güvenliğinizi ve hatta başkalarının güvenliğini tehlikeye atabilir. Ürünleri güncel tutmanız gerekir ve evinizdeki bir cihazda yama uygulanmamış bir istismar varsa, onu çevrimdışına almalısınız. (Ayrıca Plex’in güncelleme sürecini iyileştirmesi gerekiyor. Bunu deneyimlerimden biliyorum.)
Ne yazık ki, teknoloji şirketleri nasıl örnek olunacağını bilmiyorlar. Buradaki sorumluluk LastPass’e aittir ve geçmiş performans güvenliği ciddiye alamayacağını kanıtlamak için. Yorum için LastPass’a ulaştık ve yanıt bekliyoruz.
Kaynak: Son GeçişPlex