LastPass, orijinal olarak Marvasol, Inc. şirketi tarafından geliştirilen, şifrelenmiş parolaları bulutta depolayan ücretsiz bir parola yöneticisidir.
Geliştiriciler şifre yöneticisi LastPass33 milyondan fazla kişi ve 100.000'den fazla şirket tarafından kullanılan, kullanıcıları, saldırganların yedeklere erişmeyi başardığı bir olay hakkında bilgilendirdi depolama kullanıcı verileri ile hizmetten.
Veriler, hizmete erişilen kullanıcı adı, adres, e-posta, telefon ve IP adreslerinin yanı sıra şifre yöneticisinde saklanan şifrelenmemiş site adları ve bu sitelerde saklanan oturum açma bilgileri, şifreler, form verileri ve şifreli notlar gibi bilgileri içeriyordu. .
Oturum açma bilgilerini ve parolaları korumak için sitelerin, AES şifrelemesi, PBKDF256 işlevi kullanılarak oluşturulan 2 bitlik bir anahtarla kullanıldı yalnızca kullanıcı tarafından bilinen, minimum 12 karakter boyutunda bir ana parolaya dayalıdır. LastPass'ta oturum açma bilgilerinin ve parolaların şifrelenmesi ve şifresinin çözülmesi yalnızca kullanıcı tarafında yapılır ve ana parolanın boyutu ve uygulanan PBKDF2 yineleme sayısı göz önüne alındığında, modern donanımda ana parolayı tahmin etmenin gerçekçi olmadığı kabul edilir.
Saldırıyı gerçekleştirmek için, ağustos ayında gerçekleşen son saldırı sırasında saldırganlar tarafından elde edilen verileri kullandılar ve hizmet geliştiricilerinden birinin hesabını ele geçirerek gerçekleştirildi.
Ağustos saldırısı, saldırganların geliştirme ortamına erişim kazanmasıyla sonuçlandı., uygulama kodu ve teknik bilgiler. Daha sonra, saldırganların başka bir geliştiriciye saldırmak için geliştirme ortamındaki verileri kullandıkları ve bunun için bulut depolamaya erişim anahtarları ve orada depolanan kaplardan verilerin şifresini çözmek için anahtarlar elde ettikleri ortaya çıktı. Güvenliği ihlal edilmiş bulut sunucuları, çalışanın hizmet verilerinin tam yedeklerini barındırıyordu.
Açıklama, LastPass'in Ağustos ayında ifşa ettiği bir yasal boşluk için çarpıcı bir güncellemeyi temsil ediyor. Yayıncı, bilgisayar korsanlarının "LastPass'tan kaynak kodun bazı kısımlarını ve bazı özel teknik bilgileri aldıklarını" kabul etti. Şirket, o sırada müşteri ana parolalarının, şifrelenmiş parolaların, kişisel bilgilerin ve müşteri hesaplarında saklanan diğer verilerin etkilenmediğini söyledi.
LastPass CEO'su Karim Toubba, Advanced Encryption Scheme'e atıfta bulunarak, 256-bit AES ve Zero Knowledge mimarimiz kullanılarak yalnızca her kullanıcının ana parolasından türetilen benzersiz bir şifre çözme anahtarıyla çözülebilir. Sıfır Bilgi, hizmet sağlayıcının kırması imkansız olan depolama sistemlerini ifade eder. CEO şöyle devam etti:
Ayrıca, LastPass'ın güvenlik ihlalinden sonra güvenliğini güçlendirmek için aldığı birkaç çözümü de listeledi. Adımlar, saldırıya uğramış geliştirme ortamının hizmet dışı bırakılmasını ve sıfırdan yeniden oluşturulmasını, yönetilen bir uç nokta algılama ve yanıt hizmetinin sürdürülmesini ve güvenliği ihlal edilmiş olabilecek tüm ilgili kimlik bilgilerinin ve sertifikaların döndürülmesini içerir.
LastPass tarafından saklanan verilerin gizliliği göz önüne alındığında, bu kadar geniş bir yelpazede kişisel verilerin elde edilmiş olması endişe vericidir. Parola karmalarını kırmak yoğun kaynak gerektirse de, özellikle saldırganların yöntemi ve yaratıcılığı göz önüne alındığında, bu söz konusu bile olamaz.
LastPass müşterileri, Ana Parolalarını değiştirdiklerinden emin olmalıdır ve kasanızda saklanan tüm şifreler. Ayrıca, varsayılan LastPass ayarlarını aşan ayarları kullandıklarından da emin olmalıdırlar.
Bu yapılandırmalar, uzun, benzersiz ana parolaların kırılmasını imkansız hale getirebilen bir karma şeması olan Parola Tabanlı Anahtar Türetme İşlevinin (PBKDF100100) 2 yinelemesini kullanarak depolanan parolaları karıştırır ve rastgele oluşturulan 100100 yineleme, ne yazık ki OWASP tarafından önerilen 310 eşiğinin altındadır. LastPass tarafından kullanılan SHA000 karma algoritması ile birlikte PBKDF2 için yinelemeler.
LastPass müşterileri Ayrıca, LastPass'tan geldiği iddia edilen kimlik avı e-postaları ve telefon aramaları konusunda da çok dikkatli olmaları gerekir. veya hassas verileri arayan diğer hizmetler ve güvenliği ihlal edilmiş kişisel verilerinizden yararlanan diğer dolandırıcılıklar. Şirket ayrıca, LastPass birleştirilmiş oturum açma hizmetlerini uygulayan kurumsal müşteriler için özel rehberlik sunuyor.
Son olarak, bu konuda daha fazla bilgi edinmek istiyorsanız, ayrıntılara başvurabilirsiniz. Aşağıdaki bağlantıda.