Ağustos ayında LastPass’ta sıradan görünen bir ihlal, geçen yılın en endişe verici güvenlik olaylarından birine neden oldu. Parola yöneticisinin tehdidin kontrol altına alındığını iddia etmesinden aylar sonra, yıl sona ererken aşağı yöndeki etkiler arttı.
Siber güvenlik analistleri ve tehdit araştırmacılarına göre, LastPass kullanıcıları ve kurumsal müşteriler, parola kasası verilerini açığa çıkaran bir sonraki ihlalin ardından yüksek alarm durumunda olmalı ve tüm parolalarını derhal değiştirmelidir.
Parola yöneticisi tarafından tutulan verilerin çoğu şimdi tehlikeye girdi Bilinmeyen bir tehdit aktörü, şirketin bulut tabanlı depolama kasasına erişip kopyaladıktan sonra. Bu, şifrelenmiş parolaları ve kullanıcı adlarını ve müşterilerin LastPass aracılığıyla eriştiği web siteleri, e-posta adresleri, telefon numaraları ve müşterilerin platforma erişmek için kullandıkları IP adresleri gibi şifrelenmemiş verileri içerir.
Şifrelenmemiş veriler, bir düşmana, kullanıcıları ana parolalarını paylaşmaları için kandırmak üzere kimlik avı veya sosyal mühendislik kampanyaları yoluyla kimliğine bürünebilecekleri belirli şirketleri ve URL’leri sağlar.
“Bu olabildiğince kötü,” Chester Wisniewski, Sophos’ta baş araştırma bilimcisi, e-posta yoluyla söyledi. “Kazayla insanların ana parolalarını kaydetmedikleri sürece, ki bu durumu daha da kötüleştirebilecek tek şey bu.”
LastPass CEO’su Karim Toubba, şifrelenmiş alanlar ve ana parolalar güvende kalırsiber güvenlik uzmanları bu iddiaya karşı çıktı ve şirketi şimdiye kadar olaya nasıl tepki verdiği konusunda eleştirdi.
“LastPass’ın bugüne kadar bu ihlali ele alma şekli, bir şeylerin nasıl yapılmaması gerektiğine dair bir ustalık sınıfıdır.” Katell Thielemann, Gartner’da Analist Başkan Yardımcısıe-posta yoluyla söyledi.
Thielemann, “LastPass, iletişimleri geciktiriyor, sorunun boyutunu ve ciddiyetini gizliyor ve sorunla nasıl başa çıktıkları konusunda bariz bir şekilde sessiz kalıyor gibi görünüyor” dedi.
Analistler ve araştırmacılar, Toubba’nın en az 12 karakterden oluşan ana parolaların genel olarak mevcut araçları kullanarak tahmin edilmesinin “milyonlarca yıl” alacağı yönündeki iddiasını da geri püskürttüler.
“Şifreleri kırmak mümkün” Tanium’da uç nokta güvenlik araştırması direktörü Melissa Bischoping, e-posta yoluyla söyledi. “Modern ekipmanlarla şifrenizi kırmanın ne kadar karmaşık olacağını belirlemek için hesap yapmak yerine, devam edip kimlik bilgilerini biraz temizlemeniz en iyisidir.”
Pratik açıdan, kullanıcıların ana şifrelerini hemen değiştirmeleri ve ardından kasalarında depolanan tüm site ve hesapların şifrelerini değiştirmeleri, Forrester’da kıdemli analist olan Jess Burne-posta yoluyla söyledi.
Burn ayrıca, üçüncü taraf onaylı dijital sertifikalar veya tek faktörlü biyometri ile yerel bir mobil kimlik doğrulayıcı ile iş gücü kimlik doğrulamasına katmanlı bir yaklaşım uygulayarak kurumsal müşterileri şifresiz çalışmayı düşünmeye teşvik etti.
Thielemann, “Kullanıcı açısından bakıldığında, bu gerçekten kafa karıştırıcı. Parolalarımı güvence altına almak için bir satıcıya ödeme yaptığımı ve tüm bilgilerimin tehlikeye girdiğini ancak onlarınkinin olmadığını duyarsam, gerçekte ne için ödeme yapmış olurum?”
LastPass, 33 milyondan fazla kayıtlı kullanıcı ve 100.000’den fazla ticari müşteri tarafından kullanılmaktadır.
Thielemann, “LastPass, etki, risk ve sonraki adımlar konusunda çok daha şeffaf olmalı” dedi. “Bu, derin bir dalış için öncelikli bir aday olmalıdır. Siber Güvenlik İnceleme Kurulu Siber Güvenlik ve Altyapı Güvenliği Ajansı liderliğinde.”