Bir freemium şifre yönetim şirketi olan LastPass, yetkisiz bir tarafın kaynak koduna ve bazı özel teknik bilgilere erişmesine ve bunları çalmasına izin veren saldırıya uğradı.
Şirketin CEO’su Karim Toubba’ya göre, “Yetkisiz bir tarafın, güvenliği ihlal edilmiş tek bir geliştirici hesabı aracılığıyla LastPass geliştirme ortamının bölümlerine erişim sağladığını ve kaynak kodunun bölümlerini ve bazı özel LastPass teknik bilgilerini aldığını belirledik.”
Şirket, olayın gerçekleştiğine dair hiçbir kanıt görmediklerini söyledi. Soruşturmaları hala devam ediyor ve sınırlama ve hafifletme önlemleri aldı, aynı zamanda önde gelen siber güvenlik ve adli tıp firmasıyla da angaje oldu.
LastPass Advisory, “Müşteri verilerinin veya şifrelenmiş parola kasalarının güvenliğinin ihlal edildiğine dair hiçbir kanıt yok” diyor.
Danışmanlıkta yer alan SSS’lere göre, saldırı Ana Parola’yı tehlikeye atmaz. LastPass’in müşterilerimizin Ana Parolasını asla bilememesini veya bunlara erişmemesini sağlayan endüstri standardı Sıfır Bilgi mimarisini takip etmelerini sağlarlar.
Şirket, bu olayın şirketin geliştirme ortamını etkilemediğini ve şifrelenmiş kasa verilerine yetkisiz erişime dair bir kanıt bulunmadığını da sözlerine ekledi.
LastPass, “Araştırmamız, üretim ortamımızda müşteri verilerine yetkisiz erişim olduğuna dair hiçbir kanıt göstermedi”
LastPass, saldırı, tehdit aktörlerinin geliştirici hesabını nasıl ele geçirdiği ve hangi kaynak kodunun çalındığı ile ilgili ayrıntılı bilgilere yer vermedi.
LastPass müşterilerine e-postayla gönderilen tam güvenlik danışma belgesi aşağıda eklenmiştir.
Şirket, ek güvenlik önlemleri aldıklarını ancak olayla ilgili herhangi bir kanıt görmediklerini garanti ediyor.
LastPass Advisory, “Soruşturmamız devam ederken, bir sınırlama durumuna ulaştık, ek gelişmiş güvenlik önlemleri uyguladık ve başka yetkisiz faaliyet kanıtı görmüyoruz” diyor.
Bu nedenle LastPass hesaplarınızda çok faktörlü kimlik doğrulamayı etkinleştirmeniz önemlidir, bu nedenle tehdit aktörleri şifreniz ele geçirilse bile hesabınıza erişemez.
Güvenli Azure AD Koşullu Erişimi – Ücretsiz E-Kitap İndirin