Karim Toubba, LastPass’ta pek balayı geçirmedi. Şirkete CEO olarak katılmasından dört aydan kısa bir süre sonra, 2022’nin en yüksek profilli güvenlik hatalarından birine dönüşecek bir siber saldırı başlamıştı.
LastPass, müşterilerini ilk olarak Ağustos ayında bir güvenlik ihlali konusunda bilgilendirmiş olsa da, LastPass’in çalınan şifreli parolalar, kullanıcı adları ve formla doldurulmuş veriler dahil olmak üzere tüm müşteri kasası verilerinin bulut tabanlı bir yedeğini ortaya çıkarması geçen yıl sona ermeden birkaç gün önce gerçekleşti. hala kimliği belirsiz bir tehdit aktörü tarafından.
LastPass tarafından saklanmayan veya korunmayan ana parolaların güvenliği ihlal edilmedi; bu, büyük olasılıkla bir felaketi önleyen önemli bir ayrıntıydı.
Toubba için dersler, büyük ölçüde şirketin 7 aylık bir süre boyunca kritik bilgilerin damlatıldığı yanıtında yatmaktadır.
“Nihayetinde şeffaflık parçasını doğru yaptığımızı düşünüyorum. Toubba bir telefon görüşmesinde Cybersecurity Dive’a verdiği demeçte, biraz zaman aldı ve bence iki sorun, iyileştirme alanları ve öğrenilen dersler burada yatıyor.
LastPass’in bilgileri daha hızlı paylaşması gerektiğini söyledi ve Mart ayında Toubba’nın siber saldırıyla ilgili beşinci ve en ayrıntılı blog gönderisini yayınladığı Mart ayında yaptığı gibi, tüm bilgilerin bir araya getirilmesini beklememesi gerektiğini söyledi.
LastPass CEO’su Karim Toubba
LastPass tarafından verilen izin
Ama serpintilerin en kötüsü geçmişte kalmış gibi görünüyor. Toubba, LastPass’in Ekim 2022’nin sonlarından bu yana herhangi bir tehdit aktörü faaliyeti gözlemlemediğini veya bu faaliyetten haberdar edilmediğini söyledi. Ayrıca, parola yöneticisi, LastPass’tan çalınan veriler nedeniyle müteakip güvenlik ihlali yaşayan müşterilerin farkında değildir.
Aylarca süren siber saldırı, LastPass’ın işini etkiledi ve bu yıl Toubba, müşterilerin güvenini yeniden kazanmak amacıyla bir dinleme turuna çıktı.
Toubba daha önce şifre yöneticisinin kapsamlı ihlalini izleyen iletişim hız treninin tüm sorumluluğunu üstlenmiş ve ileriye dönük olarak daha şeffaf olacağına söz vermişti.
Toubba, Cuma günkü röportajda, “Pazara yayılan bu tür istikrarlı bilgi akışı, biz tüm bilgileri toplayıp sonunda hepsini yayınlarken bir süreliğine karanlığa düşmek yerine ilerlemeyi gösterecekti” dedi.
Toubba, bilgilerin saklanması kararı, olaya müdahale ve iletişim sürecinde hararetle tartışıldı, ancak “geçmişe bakıldığında, daha iyisini yapabilirdik” dedi.
iş etkisi
LastPass, DevOps sırlarının, yapılandırma verilerinin, API sırlarının, üçüncü taraf entegrasyon sırlarının ve LastPass’ın çok faktörlü kimlik doğrulamasının bir yedeğinin çalınmasını içeren tüm hasarı paylaştıktan sonra şifre yöneticisini saran güven kriziyle hâlâ mücadele ediyor. veri tabanı.
Toubba, 2023’ün ilk çeyreğinde LastPass’ın müşteri yenileme oranının yaklaşık %8’lik bir darbe aldığını söyledi. Toubba, müşteri yenileme oranını açıklamayı reddetti, ancak yenileme oranlarının bu yılın sonuna kadar önceki ortalamaya dönmesinin beklendiğini söyledi.
Toubba, LastPass’ın şu anda yaklaşık 115.000 ticari müşterisi olduğunu söyledi.
Hizmeti yaklaşık 10 yıldır kişisel ve profesyonel olarak kullanan Netenrich CISO Chris Morales de dahil olmak üzere bazı müşteriler bu yılın başlarında kaçtı.
“Aslında LastPass’ı seviyorum. Morales, Mart ayında bir telefon görüşmesinde, “Nihai senaryo ters gitti ve geçen yıl boyunca çözülmeye devam etti ve ben sadece şaşkına döndüm” dedi.
Bu şaşkınlık, LastPass’ın araştırmasının sonuna doğru paylaştığı kritik bir ayrıntıdan geldi: Parola yöneticisinin şifre çözme anahtarlarına erişimi olan 4 DevOps mühendisinden 1’i ana parolalarını evdeki kötü amaçlı yazılım bulaşmış kişisel bir cihaza manuel olarak girdi.
Morales, “Tüm kuralları çiğnediler” dedi. “LastPass’ta başarısız olan anahtar yönetimi.”
Toubba, müşteri güvenini yeniden kazanmak için daha fazla çalışma yapılması gerektiğini kabul ediyor, ancak gecikmeli de olsa kapsamlı bilgi paylaşımı, LastPass müşterilerine yaygın erişim ve teknoloji yükseltmeleri bu konuda yardımcı oldu.
Toubba, son birkaç ayda 200’den fazla müşteriyle zaman geçirdiğini söyledi. Toubba, iş dünyasının liderlerinin siber saldırılara alışık olduğunu ve diğer şirketleri saldırıya uğradıkları için yargılamadıklarını, ancak şirketleri nasıl tepki verdiklerine ve sonrasında nasıl başa çıktıklarına göre yargıladıklarını söyledi.
Toubba, LastPass’ın bu cephede bazı hatalar yapmasına rağmen iletişim gerekliydi, “ancak bu fırsatı ekibi, ekibin uyguladığı süreçleri ve ardından teknoloji yığınını güçlendirmek için gerçekten kullanmanın önemli olduğunu da hissettik” dedi. “Bence tüm bunlar toplu olarak güveninizi yeniden kazanmanıza yardımcı oluyor.”
Uzay ve zaman, LastPass’ın lehine de çalışabilir.
Parola yöneticileri için Outlook
Toubba, şirkete katıldığında savunmakla yükümlü olacağı tehditleri biliyordu, ancak bu yoğun risk nedeniyle parola yöneticilerinin gözden düşürülmesi gerektiği fikrini reddediyor.
“Görüşümüze göre değer teklifi, bu olayda bile, ne kadar yüksek profilli olursa olsun, özellikle bir şifre yöneticisinin size sunduğu tüm özelliklerden ve yeteneklerden tam olarak yararlanırsanız, pazarın geneli için son derece değerlidir.” Toubba dedi.
Toubba, “İronik olarak, birçok yönden, bu olay bir yana, parola yönetiminin değer önermesi, aynı parolayı kullanmamanızdır,” dedi.
“Tuttuğumuz veriler sayesinde, sırtımızda oldukça sulu bir hedef olacak. [in] sonsuza dek,” dedi Toubba. “Bunun sadece bir parola yönetimi işlevi olduğunu düşünmüyorum. Saldırganlar için yüksek değerli bir hedef olan birleştirilmiş bilgileri tutan herhangi bir şirketin veya kuruluşun bir işlevi olduğunu düşünüyorum.”
LastPass yalnız değil. Geçtiğimiz yıl Okta, Twilio, KeePass ve diğerleri dahil olmak üzere birçok erişim ve kimlik doğrulama sistemi sağlayıcısı hedef alındı. Tehdit aktörleri son zamanlarda, birçok aşağı yönlü saldırıya yol açabilecek başka bir yoğun saldırı vektörü olan dosya aktarım hizmetlerine odaklandı.
Ağustos 2022 ile Mart 2023 arasında LastPass’in sonraki her güncellemesiyle kötüden kötüye giden siber saldırıya rağmen Toubba, şifre yöneticisinin çok daha güçlü ve daha güvenli bir platform haline geleceğini iddia ediyor.
Toubba, “Bir kuruluşun bir kriz sırasında nasıl davrandığına ilişkin ön sıralardan bir koltuğa sahip olmak, özellikle CEO olarak görev sürenizin bu kadar erken dönemlerinde, nadiren gözlemleyebileceğiniz bir şeydir” dedi.
Toubba, “Bazı yönlerden, bu durum ne kadar zor olsa da, bizi çok daha güçlü bir organizasyon haline getiren pek çok şey çıkardık” dedi.
Toubba, “Son birkaç on yılda öğrendiğim bir şey, güvenliğin bir evrim olduğu, asla sona ermediği ve bunun nedeni, rakiplerinizin de aynı şekilde evrim geçirmesidir” dedi. “Bu, dahil olmaya devam ettiğimizi ve açıkça ve oldukça alenen konuştuğumuzu göreceğiniz bir şey.”