Ağustos 2022’de LastPass güvenlik ihlali, şirket tarafından daha önce açıklanandan daha ciddi olabilir.
Perşembe günü popüler parola yönetimi hizmeti, kötü niyetli aktörlerin izinsiz girişten sifonlanan verileri kullanarak müşterilerine ait şifreli parola kasaları da dahil olmak üzere çok sayıda kişisel bilgi ele geçirdiğini ortaya çıkardı.
Şirket ayrıca, “temel müşteri hesabı bilgileri ve şirket adları, son kullanıcı adları, fatura adresleri, e-posta adresleri, telefon numaraları ve müşterilerin LastPass hizmetine eriştiği IP adresleri dahil olmak üzere ilgili meta veriler” çalındığını söyledi.
Devam eden bir soruşturmanın konusu olmaya devam eden Ağustos 2022 olayı, kötü niyetli kişilerin güvenliği ihlal edilmiş tek bir çalışan hesabı aracılığıyla geliştirme ortamından kaynak koduna ve özel teknik bilgilere erişmesini içeriyordu.
LastPass, bunun kimliği belirsiz saldırganın, üretim ortamından fiziksel olarak ayrı olduğunu vurguladığı bulut tabanlı bir depolama hizmetinde depolanan bir yedekten bilgi çıkarmak için daha sonra yararlanılan kimlik bilgilerini ve anahtarları almasına izin verdiğini söyledi.
Üstelik, saldırganın müşteri kasası verilerini şifreli depolama hizmetinden kopyaladığı söyleniyor. Hem web sitesi URL’leri gibi şifrelenmemiş verileri hem de web sitesi kullanıcı adları ve şifreleri, güvenli notlar ve formla doldurulmuş veriler gibi tamamen şifrelenmiş alanları içeren “tescilli bir ikili biçimde” depolanır.
Şirketin açıkladığı bu alanlar, 256 bit AES şifrelemesi kullanılarak korunuyor ve yalnızca kullanıcıların cihazlarındaki ana parolasından türetilen bir anahtarla çözülebiliyor.
LastPass, güvenlik açığının şifrelenmemiş kredi kartı verilerine erişimi içermediğini, çünkü bu bilgilerin bulut depolama kapsayıcısında arşivlenmediğini doğruladı.
Şirket, yedeğin ne kadar yeni olduğunu açıklamadı, ancak tehdit aktörünün “ana şifrenizi tahmin etmek ve aldıkları kasa verilerinin kopyalarını çözmek için kaba kuvvet kullanmaya çalışabileceği” ve ayrıca sosyal mühendislikle müşterileri hedef alabileceği konusunda uyardı. kimlik bilgisi doldurma saldırıları.
Bu aşamada, kaba kuvvet saldırılarının ana şifreleri tahmin etme başarısının, güçleriyle ters orantılı olduğunu, yani şifreyi tahmin etmek ne kadar kolaysa, onu kırmak için gereken girişim sayısının o kadar az olduğunu belirtmekte fayda var.
LastPass, “Ana parolanızı yeniden kullanırsanız ve bu parolanın güvenliği ihlal edilmişse, bir tehdit aktörü, hesabınıza erişmeye çalışmak için zaten internette bulunan güvenliği ihlal edilmiş kimlik bilgilerinin dökümlerini kullanabilir.”
Web sitesi URL’lerinin düz metin halinde olması, ana parolanın başarılı bir şekilde şifresinin çözülmesinin, saldırganlara belirli bir kullanıcının hesap sahibi olduğu web siteleri hakkında fikir verebileceği ve ek kimlik avı veya kimlik bilgisi hırsızlığı saldırıları düzenlemelerine olanak sağlayabileceği anlamına gelir.
Şirket ayrıca, ticari müşterilerinin küçük bir alt kümesini (ki bu yüzde 3’ten daha azdır) hesap yapılandırmalarına göre belirli belirtilmemiş eylemleri gerçekleştirmeleri için bilgilendirdiğini söyledi.
Gelişme, Okta’nın tehdit aktörlerinin GitHub’da barındırılan Workforce Identity Cloud (WIC) havuzlarına yetkisiz erişim elde ettiğini ve kaynak kodunu kopyaladığını kabul etmesinden günler sonra geldi.