Pekçok kişini kullandığı şifre yöneticisi uygulaması LastPass, yaptığı açıklama ile kullanıcılarının şifre gibi hassas bilgilerinin bulunduğu veri setinin çalındığını duyurdu. Gerçekleşen güvenlik açığının aylar sonra açıklanması ise tepki çekti.

Apple kullanıcıları hesaplarına erişemiyor! Giriş yapabilmek için saatlerce beklemek zorunda kaldılar Apple kullanıcıları hesaplarına erişemiyor! Giriş yapabilmek için saatlerce beklemek zorunda kaldılar

LastPass kullanıyorsanız dikkat

LastPass'ın Ağustos 2022'de hacklendiğini ve Kasım 2022'de önceki saldırıdan elde edilen bilgilerle tekrar bir saldırı gerçekleştirildiğini biliyorduk. O saldırıda kullanıcı verilerinin 'belirli unsurlarına' erişildiği söylenmişti ancak açıkça hangi verilerin çalındığı belirtilmemişti. Çalınan bilgilerin detayı ise şimdi ortaya çıktı.

LastPass CEO'su Karim Toubba, paylaştığı blog gönderisinde  daha önce çalınan bulut depolama anahtarlarını kullanarak saldırganların müşteri kasası verilerinin bir yedeğini çaldıklarını açıkladı. Müşteri şifre kasalarının önbelleği, hem şifrelenmemiş hem de şifrelenmiş kasa verilerini içeren "tescilli bir ikili formatta" saklanır, ancak bu tescilli formatın teknik ve güvenlik ayrıntıları belirtilmemiş durumda. Bu çalınan verilerin ise ne kadar güncel veriler olduğu bilinmiyor.

Şirket bu yaşananlardan sonra bile 'güçlü bir ana parolanız' varsa hesabınızın güvende olabileceğini iddia ediyor. Ayrıca zayıf bir ana parolaya sahipseniz şirket, "ekstra bir güvenlik önlemi olarak, sakladığınız web sitelerinin parolalarını değiştirerek riski en aza indirmeyi düşünmelisiniz" diyor.

Siz yine de LastPass üyeliğinizdeki hesabınızı kapatıp burada kayıtlı olan hesaplarınızın şifrelerini değiştirmeyi ihmal etmeyin. 

Toubba, saldırılar sonucunda kullanıcıların isimleri, e-posta adresleri, telefon numaraları ve bazı fatura bilgileri dahil olmak üzere çok sayıda müşteri verisinin de ele geçirildiğini söyledi.

LastPass-security-breach

LastPass şifre kasaları güvenli mi?

LastPass tarafından yapılan açıklamaya göre veriler 256 bit AES şifreleme ile güvence altına alınmış ve yalnızca her kullanıcının ana parolasından türetilen benzersiz bir şifreleme anahtarı ile bunların şifresi çözülebilir. Şirket bu ana parolanın kendi sunucularında tutulmadığını ve firmanın bu şifreyi göremediğini söylüyor.

LastPass’e göre çalınan şifre kasaları her ne kadar kullanıcıların tüm şifre bilgilerini içeriyor olsa da kırılmasının çok zor olduğunu ve geleneksel yöntemlerle ana parolanın tahmin edilmesinin milyonlarca yıl süreceğini ifade ediyor.

Ancak bu kadar kesin açıklamalara rağmen bu veri sızıntısının neden aylar sonra duyurulduğu hala belirsiz. 33 milyondan fazla kişi ve 100.000 işletme tarafından kullanılan LastPass’e gelen tepkiler burada çok artıyor.