Birleşik Krallık’ın veri gizliliği düzenleyicisi Bilgi Komiserliği Ofisi (ICO), şifre yönetimi devi LastPass UK Ltd’yi, 2022’de yalnızca Birleşik Krallık’ta 1,6 milyona kadar kullanıcının kişisel ayrıntılarını ve şifrelenmiş kasalarını etkileyen büyük bir güvenlik ihlali nedeniyle 1,2 milyon £ para cezasıyla cezalandırdı.
ICO, şirketin yeterince güçlü teknik ve güvenlik önlemlerini uygulamaya koymadığı sonucuna vardı. ICO Başkanı John Edwards, insanların güvenliklerini artırmalarına yardım etme sözü veren bir şirketin “onları yüzüstü bıraktığını” belirtti.
2022 İhlali: Başarısızlıklar Zinciri
Hackread.com’un 2022’de bildirdiği üzere, olayın tamamı iki ana aşamada meydana gelen bir dizi insani ve teknik güvenlik arızasını içeriyordu. Sorun ilk olarak Ağustos 2022’de bir saldırganın Avrupa’daki bir geliştiriciye ait kurumsal dizüstü bilgisayarı ele geçirip şirketin bazı kaynak kodlarını ve dahili bilgilerini çalmasıyla başladı. Bu ilk saldırı doğrudan müşteri verilerini tehlikeye atmadı.
Saldırgan daha sonra çalınan bu malzemeyi ikinci, daha zarar verici aşamayı başlatmak için kullandı. ABD’deki kıdemli bir mühendisi (kritik şifre çözme anahtarlarına erişimi olan yalnızca dört çalışandan biri) hedef aldılar ve cihazda yüklü olan Plex Media Server olduğuna inanılan üçüncü taraf bir uygulamadaki bilinen bir kusurdan yararlanarak bu çalışanın kişisel masaüstü bilgisayarına erişim sağladılar.
Saldırgan içeri girdikten sonra çalışanın ana şifresini yakalamak için bir keylogger kurdu ve Multi-Factor Authentication’ı (MFA) atlamak için güvenilir bir cihaz çerezini çaldı. Mühendis, iş ve kişisel hesaplarını tek bir ana parolayla bağladığından, bilgisayar korsanı kurumsal kasaya erişerek bir Amazon Web Hizmetleri (AWS) erişim anahtarı ve müşteri verilerine erişmek için gereken şifre çözme anahtarını ele geçirdi.
Çalınan veriler arasında isimleri, şirket adlarını, fatura adreslerini, telefon numaralarını, e-posta kimliklerini ve müşterilerin LastPass hizmetine erişmek için kullandıkları IP adreslerinin yanı sıra şifrelenmiş şifre kasaları da yer alıyordu.
ICO Kararı Güvenlik Hatalarını Vurguluyor
ICO’nun kararı sertti. LastPass UK Ltd’nin sistem erişimini yeterince kısıtlamadığını, insan unsurunun, özellikle de çalışanın kişisel cihaz kullanmasına ve tekrarlanan kimlik bilgilerinin güvenliklerini zayıflatmasına izin verdiğini buldular. LastPass müşterilerinin kişisel bilgilerinin güvende tutulmasını bekleme hakkına sahip olduklarını belirttiler.
Ancak durumun çok daha kötü olabileceğini de belirtmekte yarar var. LastPass CEO’su Karim Toubba, şirketin “sıfır bilgi şifrelemesi” sistemi nedeniyle temel müşteri şifrelerinin korunmaya devam ettiğini doğruladı; bu, ana şifrelerin yalnızca kullanıcı tarafından bilindiği ve hiçbir zaman LastPass sunucularında saklanmadığı anlamına gelir. Bilginiz olsun, LastPass’ın bu tür olayların önlenmesi için attığı adımlar nedeniyle nihai ceza ilk teklif olan 2,6 milyona düşürüldü.
Ceza, tüm işletmeler için çok önemli bir dersi vurguluyor: Çalışanların kişisel cihazları ve ev ağları da dahil olmak üzere insan saldırısı yüzeyi, genellikle güvenli kurumsal ağlarda bile en zayıf halkadır.
Birleşik Krallık Bilgi Komiseri John Edwards’ın tam açıklaması:
“Şifre yöneticileri, işletmelerin ve halkın sayısız oturum açma ayrıntılarını yönetmesi için güvenli ve etkili bir araçtır ve bunların kullanımını teşvik etmeye devam ediyoruz. Ancak, bu olaydan da anlaşılacağı üzere, bu hizmetleri sunan işletmelerin, saldırı risklerinin önemli ölçüde azaltılmasını sağlamak için sistem erişimini ve kullanımını kısıtlaması gerekir.
“LastPass müşterilerinin, şirkete emanet ettikleri kişisel bilgilerin güvende ve emniyette tutulacağını bekleme hakları vardı, ancak şirket bu beklentiyi karşılayamadı ve bugün orantılı cezanın açıklanmasıyla sonuçlandı.
“Britanya’daki tüm işletmeleri bu soruşturmanın sonucunu dikkate almaya ve müşterilerini ve kendilerini benzer risklere maruz bırakmadıklarından emin olmak için mümkün olan en iyi şekilde kendi sistemlerini ve prosedürlerini acilen gözden geçirmeye çağırıyorum.”
Uzman Yorumu
Bu habere yanıt olarak BlackCloak CEO’su Chris Pierson, Hackread.com ile şu yorumları paylaştı: “Bu vaka, günümüzün en zarar verici ihlallerinin genellikle geleneksel kurumsal kontrollerin çok dışında başladığını açıkça hatırlatıyor. Saldırganlar şifrelemeyi veya sıfır bilgi mimarisini doğrudan alt edemediler; güvenilir bir kişiyi hedef aldılar, kişisel bir cihazı kullandılar ve yüksek değerli erişime ulaşana kadar küçük boşlukları sabırla birbirine zincirlediler.”
Pierson, işletmelere ve bireysel kullanıcılara kontroller ve uygun güvenlik önlemleri konusunda tavsiyelerde bulunduğunu söyledi: “Yöneticiler ve ayrıcalıklı kullanıcılar için kişisel ve profesyonel dijital yaşamlar birbirinden ayrılamaz ve rakipler de bunu biliyor. Kuruluş içindeki kontroller kritik olmaya devam ediyor ancak bunların kişisel cihazların sürekli korunması, gizlilik iyileştirmeleri ve ev ağı korumasıyla eşleştirilmesi gerekiyor. Kilit kişiler ve yöneticilerin kişisel yaşamlarında dijital saldırı yüzeyini güvence altına almayı başaramayan kuruluşlar, fiilen arka kapıyı saldırılara açık bırakıyor.”