Siber Suçlar, Dolandırıcılık Yönetimi ve Siber Suçlar
Toplu Dava Davası, Güvenlik Şirketinin Müşteri Verilerini Koruyamadığını Söyledi
Bay Mihir (MihirBagwe) •
5 Ocak 2023
LastPass aleyhine açılan bir toplu dava, Ağustos ayındaki bir veri ihlalinin 53.000 dolarlık Bitcoin hırsızlığıyla sonuçlandığını iddia ediyor. İsimsiz bir davacı, şifre yönetimi şirketinin veri güvenliği uygulamalarındaki ihmalin Şükran Günü hafta sonu hırsızlığına yol açtığını iddia ediyor.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakende Sektörünün ATO ve Dolandırıcılığı Önleme Zorluğunun Üstesinden Gelmek
“John Doe” takma adını kullanan davacı, bitcoin’i Temmuz 2022’den başlayarak üç aylık bir süre içinde satın aldığını iddia ediyor. Ardından, son derece hassas bitcoin özel anahtarlarını saklamak için LastPass hesabının ana şifresini güncelledi. Dava, bunun şirketin standart “en iyi uygulamaları” ile uyumlu olduğunu söylüyor.
Dava, LastPass’ın ihlali ilk olarak Ağustos ayında açıkladığını ve kullanıcıların önemli bir riskle karşılaşmadığını ve davacının özel bilgilerini müşteri kasasından sildiğini söylüyor. Ancak eylemleri biraz geç kalmış gibi görünüyor. Dava, “2022’nin Şükran Günü haftasonunda veya ona yakın bir tarihte, davacının Bitcoin’i, LastPass ile sakladığı özel anahtarlar kullanılarak çalındı” diyor.
Dava, davacının sürekli risk altında olduğunu ve kaybın şirketin ihmalkar veri güvenliği uygulamalarından kaynaklandığını iddia ediyor. Ayrıca sözleşmeye aykırılık, zımni sözleşmeye aykırılık, sebepsiz zenginleşme ve mutemet görevinin ihlali iddiasındadır.
LastPass, Information Security Media Group’tan gelen yorum talebine hemen yanıt vermedi.
Şikayet ayrıca, LastPass’ın PBKDF2 algoritmasının 100.100 yinelemesinden oluşan “tipikten daha güçlü” uygulamasının, Açık Web Uygulaması Güvenlik Projesi tarafından önerilen standart 310.000 yinelemenin altında olduğunu iddia ediyor.
Kriptografide, PBKDF1 ve PBKDF2, PBKDF2’nin standart tanımına göre kaba kuvvet saldırılarının güvenlik açıklarını azaltmak için kullanılan, kayan hesaplama maliyetine sahip temel türetme işlevleridir.
Ancak dava, LastPass’ın “kaba kuvvetle başarılı parola tahmin etme yeteneğini büyük ölçüde en aza indiren” 12 karakterlik bir ana parola kullanmaya yayıldığını iddia ediyor.
Davacı, “birçok şifre yöneticisinin bu sorunu ya şifrelemeye gerçekten rastgele bir faktör – bir gizli anahtar – ekleyerek ya da kaba kuvvetle PBKDF2’den çok daha zor olan anahtar oluşturma yöntemlerine geçerek çözdüğünü” söylüyor.
LastPass İhlalinin Zaman Çizelgesi
Ağustos ayında, adı açıklanmayan bir tehdit aktörü, şifre yöneticisi hizmetinin kaynak kodunu ve özel teknik bilgilerini tehlikeye atan LastPass’a yetkisiz erişim elde etti. O sırada bir LastPass sözcüsü, Information Security Media Group’a saldırganın müşteri verilerine veya şifreli şifre kasalarına erişim sağladığına dair “hiçbir kanıt” olmadığını söyledi (bkz: Hacker, LastPass’ın Kaynak Kodunu, Tescilli Verilerini Çaldı).
Eylül ayında LastPass, tehdit aktörünün geliştirme ortamına dört gün boyunca yetkisiz erişimi olduğunu ancak hiçbir müşteri verisine erişilmediğini iddia ettiğini ortaya çıkardı (bkz:: Hacker LastPass Dahili Sistemine 4 Gün Boyunca Erişti).
Kasım ayında şirket, “müşterilerimizin bilgilerinin belirli unsurlarının” ele geçirildiğini açıkladı (bkz: LastPass İhlali Müşteri Verilerini Açığa Çıkarıyor).
Aralık ayında şirket, ihlalin kapsamını şifreli parola kasalarına ve kurumsal bulut depolama yedekleme ortamına genişletti (bkz.: LastPass İhlali: Saldırgan Şifreli Parola Kasalarını Çaldı).