Şirket, geçen Ağustos ayında parola yönetim firması LastPass’ın geliştirme ortamına giren tehdit aktörlerinin, bu olaydan elde edilen bilgileri bir takip saldırısı için kullandığını doğruladı. Siber saldırganlar, LastPass müşteri ve kasa verilerinin bir yedeğini barındıran şifreli bir bulut depolama hizmetinden verilere erişip verileri sızdırmayı başardı.
Saldırganlar soygunu gerçekleştirmek için LastPass’taki dört DevOps mühendisinden birine ait olan ve daha geniş bir LastPass müşterisi grubuna ve şifrelenmiş Amazon S3 bulut depolama kovalarında barındırılan şifrelenmiş kasa verilerine erişmek için gereken şifre çözme anahtarlarına sahip bir ev bilgisayarını hedef aldı.
Mühendisin makinesinde, saldırganın bilgisayara erişim sağlamak ve bilgisayara bir keylogger yüklemek için istismar ettiği savunmasız bir üçüncü taraf medya oynatıcısı vardı. LastPass, kötü amaçlı yazılımın sonunda tehdit aktörünün DevOps mühendisinin kurumsal kasasına erişmesini ve AWS S3 LastPass üretim yedeklerine erişmek için gereken şifre çözme anahtarlarını dışa aktarmasını sağladı.
Saldırganın Geniş Veri Yelpazesine Erişimi Vardı
LastPass’ın bu hafta yaptığı duyuruya göre, DevOps mühendisinin kimlik bilgileri ve anahtarları, tehdit aktörünün AWS S3 depolama ortamında barındırılan parola kasası verileri dahil olmak üzere çok çeşitli şifrelenmiş ve şifrelenmemiş verilere erişmesine izin verdi. Yedekleme verileri, yapılandırma bilgilerini, API ve üçüncü taraf entegrasyon sırlarını, müşteri meta verilerini ve tüm müşteri kasası verilerinin yedeklerini içeriyordu. Ancak LastPass, müşteri kasalarındaki hassas verilerin çoğunu yalnızca her bir son kullanıcının ana parolalarından türetilen benzersiz bir şifre çözme anahtarıyla şifrelenmiş ve okunabilir olarak tanımladı.
Şirket, “Bir hatırlatma olarak, son kullanıcı ana şifreleri LastPass tarafından asla bilinmez ve LastPass tarafından saklanmaz veya korunmaz – bu nedenle, bunlar sızdırılmış verilere dahil edilmemiştir.”
Ayrıca saldırgan, LastPass çok faktörlü kimlik doğrulama (MFA) ve federasyon bilgilerini içeren bir veritabanının yedeğine de erişti. Veritabanı, MFA kimlik doğrulayıcılarını LastPass’a ilk kez kaydettiklerinde kullanıcılara atanan MFA tohumlarını, müşteri tarafından oluşturulan tek seferlik parolaların (OTP’ler) karmalarını ve ticari müşterilerle ilişkili sözde bölünmüş bilgi bileşenlerini veya K2 anahtarlarını içeriyordu. Ticari müşterilerin, Duo Security gibi üçüncü taraf MFA satıcılarını LastPass ile entegre etmek için kullandıkları sırlar da etkilendi.
Etkilenen tüm verilerin eksiksiz bir açıklamasını sunan LastPass, “Bu veritabanı şifrelenmişti, ancak ayrı depolanan şifre çözme anahtarı, tehdit aktörü tarafından çalınan sırlara dahil edildi.” Dedi.
Unfolding Tale’de Son Twist
27 Şubat’ta gönderilen güncelleme, LastPass’ın ağında olağan dışı bir etkinlik tespit ettiğini açıkladığı geçen Ağustos ayından bu yana kapsamı yavaş yavaş büyüyen bir ihlal hikâyesindeki en son değişiklik. O sırada parola yönetimi firması, tehdit aktörlerinin güvenliği ihlal edilmiş bir yazılım mühendisinin dizüstü bilgisayarı aracılığıyla bulut geliştirme ortamına girdiğini ve bazı kaynak kodlarını ve diğer özel teknik bilgileri çaldığını söyledi. Kasım ve Aralık aylarında yapılan güncellemelerde LastPass, aynı tehdit aktörlerinin Ağustos olayında elde ettikleri bilgileri bulut tabanlı depolama hizmetindeki sınırlı sayıda depolama birimine erişmek ve bunların şifresini çözmek için kullandığını söyledi.
LastPass’ın en son güncellemesinin, özellikle olayın kapsamının her ifşa ile değişmeye devam etmesi nedeniyle, şirkete güvenlik endüstrisinde yeni hayranlar kazanması pek olası değil. Şirket CEO’su Karim Toubba, geçen Ağustos ayında ihlali ilk bildirdiğinde, bunu şirketin geliştirme ortamıyla sınırlı olarak tanımladı ve şirketin “bir sınırlama durumuna ulaştığını” iddia etti. Sonraki güncellemelerinde şirket, geliştirme ve üretim ortamları arasındaki ayrım ve bu nedenle bilgilerinin neden güvenli olduğu konusunda kullanıcılara güvence verdi. Bu haftaki duyuru ile LastPass, bulut depolama ortamına yapılan saldırının geliştirme ortamına yapılan saldırıyla örtüştüğünü söyledi.
CyberSheath CEO’su Eric Noonan, “Şirketin artık bir ihlal geçmişi var ve nasıl saydığınıza bağlı olarak, bu bir yıldan kısa bir süre içinde üçüncü oluyor” diyor. Taktik düzeyde, neyi daha iyi yapmış olabileceklerini bilmek zor, çünkü ihlallerle ilgili bilgiler nispeten yetersiz, diyor. Noonan, “Daha büyük planda, CISA ve diğer sorumlu devlet kurumları, ürün şirketlerinin ürünlerini halka sunmadan önce güvenlik ve emniyet oluşturma sorumluluğu olduğunu söylerken bahsettiği şey budur” diyor.
Ana Parolaları İnceleyin
Şirket, ticari müşterilerin ve bireysel müşterilerin ana şifrelerini gözden geçirmelerini ve gerekirse değiştirmelerini savunmuştur. Ana parola belirlemek için şirketin önceki önerilerini uygulayan kullanıcılar, kaba kuvvet tahmin yöntemlerinden korunmalıdır.
Güvenlik uzmanları, saldırının kurumsal güvenliğin, çalışanların evde kullandığı ağların ve cihazların güvenliğiyle ne kadar ayrılmaz bir şekilde bağlantılı hale geldiğinin bir başka kanıtı olduğunu söylüyor.
BlackCloak’ın CEO’su ve kurucusu Chris Pierson, CISO’ların kişisel bir cihaz uzlaşmasının, bir ev ağının tamamen açık olmasının veya kişisel uzlaşmanın şirketi etkilemesinin sonuçlarını anlamaları gerektiğini söylüyor. Pierson, “Riskler artık teorik değil ve hiç olmadı” diyor. “Kurumsal ortamlar çok iyi bir şekilde güçlendirildiğinden, siber suçlular en düşük seviyedeki meyvelere yöneliyor,” diyor ki bunlar genellikle kilit çalışanların ve yöneticilerin kişisel cihazlarıdır.
BlackCloak’un yakın zamanda yürüttüğü bir anket, önemli şirket yöneticilerinin sıklıkla kullandığı kişisel masaüstü bilgisayarların, mobil ve tablet bilgi işlem cihazlarının savunmasız olduğunu ve temel korumalardan yoksun olduğunu ortaya çıkardı. Örneğin, BlackCloak’ın verileri, yöneticilerin kişisel cihazlarının %76’sının aktif olarak veri sızdırdığını, yöneticilerin kişisel cihazlarının %87’sinde güvenlik kurulu olmadığını ve yöneticilerin %23’ünün evlerinde açık bağlantı noktaları olduğunu gösterdi. Anket, yöneticilerin %87’sinin şu anda Dark Web’de sızdırılan parolaları kullandığını, %54’ünün parola yöneticisi kullanmadığını ve sosyal medya sitelerinin ve veri simsarlarının, saldırganların bunları sosyal mühendislik için kullanabilecekleri pek çok bilgiye sahip olduğunu gösterdi.
Ev Kullanıcılarına ve Cihazlara Odaklanma
IronVest’in CEO’su ve kurucu ortağı Avi Turgeman, LastPass’ın bu hafta ifşa ettiği gibi saldırıların, güvenlik ekiplerinin çalışanları nerede olurlarsa olsunlar ve hangi cihazı kullanıyor olurlarsa olsunlar, hesap ele geçirme saldırılarına karşı korumaya neden daha fazla odaklanmaları gerektiğini vurguladığını söylüyor.
“Koruma için daha bütünsel bir yaklaşım benimsemeleri gerekiyor” [employees against] tüm kritik güvenlik açıkları,” diyor Turgeman Dark Reading’e. Buna kimlik doğrulama, erişim yönetimi, oturum açma sonrası koruma, 2FA/MFA koruması ve kimlik avı gibi önlemlerin uygulanması dahildir. “Veri ihlallerinin yüzde sekseni, güvenliği ihlal edilmiş kimlik bilgilerinin bir sonucudur” notlar.