LastPass bugün, saldırganların bu yılın başlarında Ağustos 2022’deki bir olay sırasında çalınan bilgileri kullanarak bulut depolamasını ihlal ettikten sonra müşteri kasası verilerini çaldığını ortaya çıkardı.
Bu, geçen ay şirketin CEO’su Karim Toubba’nın tehdit aktörünün yalnızca müşteri bilgilerinin “belirli unsurlarına” erişim kazandığını söylediği bir önceki güncellemenin ardından geldi.
Bugün Toubba, bulut depolama hizmetinin LastPass tarafından üretim verilerinin arşivlenmiş yedeklerini depolamak için kullanıldığını ekledi.
Saldırgan, geliştirici ortamından çalınan “bulut depolama erişim anahtarı ve ikili depolama konteyneri şifre çözme anahtarlarını” kullanarak Lastpass’ın bulut depolama alanına erişim sağladı.
Toubba, “Tehdit aktörü, temel müşteri hesabı bilgilerini ve şirket adları, son kullanıcı adları, fatura adresleri, e-posta adresleri, telefon numaraları ve müşterilerin LastPass hizmetine eriştiği IP adresleri dahil olmak üzere ilgili meta verileri içeren bilgileri yedekten kopyaladı.” bugün dedi
“Tehdit aktörü ayrıca, hem web sitesi URL’leri gibi şifrelenmemiş verileri hem de web sitesi gibi tamamen şifrelenmiş hassas alanları içeren özel bir ikili biçimde saklanan şifreli saklama kabından müşteri kasası verilerinin bir yedeğini kopyalayabildi. kullanıcı adları ve şifreler, güvenli notlar ve formla doldurulmuş veriler.”
Çalınan kasa verilerinin bir kısmı “güvenli bir şekilde şifrelenmiştir”
Neyse ki, şifrelenmiş veriler 256 bit AES şifreleme ile güvence altına alınmıştır ve yalnızca her kullanıcının ana parolasından türetilen benzersiz bir şifreleme anahtarı ile şifresi çözülebilir.
Toubba’ya göre, ana parola LastPass tarafından asla bilinmez, Lastpass’ın sistemlerinde depolanmaz ve LastPass bunu korumaz.
Müşteriler ayrıca, saldırganların çalınan şifreli kasa verilerine erişim elde etmek için ana parolalarını kaba kuvvetle kullanmaya çalışabilecekleri konusunda uyarıldı.
Ancak, LastPass tarafından önerilen en iyi parola uygulamalarını takip ettiyseniz, bu çok zor ve zaman alıcı olacaktır.
Bunu yaparsanız, Toubba, “genel olarak mevcut parola kırma teknolojisini kullanarak ana parolanızı tahmin etmek milyonlarca yıl alır” diye ekledi.
“Kullanıcı adları ve parolalar, güvenli notlar, ekler ve form doldurma alanları gibi hassas kasa verileriniz, LastPass’ın Sıfır Bilgi mimarisine dayalı olarak güvenli bir şekilde şifrelenmiş halde kalır.”
Bir yılda iki kez ihlal edildi
Bulut depolama ihlali, ağustos ayında geliştirici ortamının güvenliği ihlal edilmiş bir geliştirici hesabı kullanılarak ihlal edildiğinin doğrulanmasının ardından şirket tarafından yılın başından bu yana açıklanan ikinci güvenlik olayı oldu.
Lastpass, BleepingComputer’ın olası bir ihlalle ilgili sorulara yanıt alamamasından sonra Ağustos danışma günlerini yayınladı.
Müşterilere gönderilen e-postalarda Lastpass, saldırganların sistemlerinden özel teknik bilgileri ve kaynak kodunu çaldığını doğruladı.
Bir takip güncellemesinde şirket, Ağustos ihlalinin arkasındaki saldırganın, tahliye edilene kadar dört gün boyunca sistemlerine dahili erişimi sürdürdüğünü de açıkladı.
LastPass, şifre yönetimi yazılımının dünya çapında 33 milyondan fazla kişi ve 100.000 işletme tarafından kullanıldığını söylüyor.