Birleşik Krallık Bilgi Komiserliği Ofisi (ICO), LastPass şifre yönetimi şirketine, bir saldırganın 2022’deki bir ihlalde 1,6 milyona kadar Birleşik Krallık kullanıcısının kişisel bilgilerini ve şifrelenmiş şifre kasalarını çalmasına izin veren güvenlik önlemlerini uygulamadığı için 1,2 milyon £ para cezası verdi.
ICO’ya göre olay, Ağustos 2022’den itibaren birbirine bağlı iki ihlalden kaynaklandı.
İlk ihlal, bir bilgisayar korsanının LastPass çalışanının dizüstü bilgisayarını ele geçirip şirketin geliştirme ortamının bazı bölümlerine eriştiği Ağustos 2022’de meydana geldi.
Bu olay sırasında hiçbir kişisel veri alınmazken, saldırgan şirketin kaynak kodunu, özel teknik bilgilerini ve şifrelenmiş şirket kimlik bilgilerini ele geçirmeyi başardı. LastPass başlangıçta ihlalin kontrol altına alındığına inanıyordu çünkü bu kimlik bilgilerinin şifre çözme anahtarları dört kıdemli çalışanın kasalarında ayrı ayrı saklanıyordu.
Ancak ertesi gün saldırgan, çalışanın kişisel cihazına yüklenen Plex olduğuna inanılan üçüncü taraf bir akış uygulamasındaki bilinen bir güvenlik açığından yararlanarak bu kıdemli çalışanlardan birini hedef aldı.
Bu erişim, bilgisayar korsanının kötü amaçlı yazılım dağıtmasına, bir keylogger kullanarak çalışanın ana şifresini ele geçirmesine ve halihazırda MFA tarafından kimliği doğrulanmış bir çerezi kullanarak çok faktörlü kimlik doğrulamayı atlamasına olanak tanıdı.
Çalışan hem kişisel hem de iş kasaları için aynı ana şifreyi kullandığından, saldırgan iş kasasına erişip Amazon Web Services erişim anahtarını ve şifre çözme anahtarını çalabildi.
Bu anahtarlar, daha önce çalınan bilgilerle birleştiğinde, saldırganların bulut depolama şirketi GoTo’ya sızmasına ve platformda depolanan LastPass veritabanı yedeklerini çalmasına olanak tanıdı.
Müşteri verileri ihlal edilerek çalındı
Çalınan veritabanında saklanan kişisel bilgiler arasında şifrelenmiş şifre kasaları, isimler, e-posta adresleri, telefon numaraları ve müşteri hesaplarıyla ilişkili web sitesi URL’leri yer alıyordu.
O dönemde LastPass CEO’su Karim Toubba, “Tehdit aktörü, şirket adları, son kullanıcı adları, fatura adresleri, e-posta adresleri, telefon numaraları ve müşterilerin LastPass hizmetine eriştiği IP adresleri dahil olmak üzere temel müşteri hesap bilgilerini ve ilgili meta verileri içeren bilgileri yedekten kopyaladı” dedi.
“Tehdit aktörü ayrıca, hem web sitesi URL’leri gibi şifrelenmemiş verileri hem de web sitesi kullanıcı adları ve şifreleri, güvenli notlar ve form doldurulmuş veriler gibi tamamen şifrelenmiş hassas alanları içeren özel bir ikili formatta saklanan şifrelenmiş depolama konteynerinden müşteri kasası verilerinin bir yedeğini kopyalayabildi.”
ICO, LastPass’ın “Sıfır Bilgi mimarisi” kasaların şifresini çözmek için kullanılan ana şifreleri bilmediğinden veya saklamadığından ve yalnızca müşteriler tarafından bilindiğinden, saldırganın müşteri şifre kasalarının şifresini çözmediğini iddia etti.
Ancak LastPass daha önce şifrelenmiş kasaların güvenliğinin müşterinin ana şifresinin gücüne bağlı olduğu konusunda uyarmış ve daha zayıf şifrelerin sıfırlanmasını tavsiye etmişti.
Siber saldırıyla ilgili LastPass destek bülteninde “Ana parolanızın uzunluğuna ve karmaşıklığına ve yineleme sayısı ayarına bağlı olarak ana parolanızı sıfırlamak isteyebilirsiniz” ifadesi yer alıyor.
Bunun nedeni, GPU destekli kaba kuvvet saldırılarının, kasaları şifrelemek için kullanılan zayıf ana şifreleri kırarak tehdit aktörlerinin bunlara erişmesine olanak sağlamasıdır.
Bazı araştırmacılar bunun zaten gerçekleştiğini iddia ediyor ve araştırmalarının, zayıf parolalara sahip LastPass kasalarının şifresinin kripto para birimi hırsızlığı saldırıları gerçekleştirmek için çözüldüğünü gösterdiğini belirtiyor.
Bilgi Komiseri John Edwards, şifre yöneticileri güvenlik açısından kritik bir araç olmayı sürdürürken, bu tür hizmetler sunan şirketlerin erişim kontrollerinin ve dahili sistemlerin hedefli saldırılara karşı sağlamlaştırılmasını sağlaması gerektiğini söyledi.
LastPass müşterilerinin kişisel bilgilerinin korunacağına dair makul bir beklentiye sahip olduklarını ve şirketin bu yükümlülüğü yerine getirememesinin bugün açıklanan cezaya yol açtığını vurguladı.
ICO, kuruluşları cihaz güvenliklerini, uzaktan çalışma risklerini ve erişim kısıtlamalarını gözden geçirmeye teşvik ediyor.
Müşteriler ayrıca LastPass’ın önerdiği, en az 12 karakterden oluşan, büyük ve küçük harfler, rakamlar, semboller ve özel karakterler içeren güçlü, karmaşık şifreler kullandıklarından emin olmalıdır.
Ancak bu gibi artan hesaplama gücü ve çevrimdışı kırmanın meydana gelebileceği saldırılarda, en az 16 karakterden oluşan bir ana şifre kullanmak daha güvenlidir. [1, 2] veya şifre kasaları gibi son derece hassas bilgilerin güvenliğini sağlamak için çok kelimeli uzun bir parola.
Bozuk IAM yalnızca bir BT sorunu değildir; etkisi tüm işletmenize yayılır.
Bu pratik kılavuz, geleneksel IAM uygulamalarının neden modern taleplere ayak uydurmakta başarısız olduğunu, “iyi” IAM’nin neye benzediğine dair örnekleri ve ölçeklenebilir bir strateji oluşturmak için basit bir kontrol listesini kapsar.