LastPass, çalınan şifrelenmemiş verilerle ilgili bazı soruları gündeme getiren Ağustos güvenlik olayına yönelik bir güncelleme yayınladı.
LastPass’a göre, bilinmeyen bir tehdit aktörü, Ağustos olayından elde edilen bilgilerden yararlanarak bulut tabanlı bir depolama ortamına erişti. Çalınan kaynak kodunun ve teknik bilgilerin bir kısmı, başka bir LastPass çalışanını hedef almak için kullanıldı; bu, tehdit aktörünün, bulut tabanlı depolama hizmetindeki bazı depolama birimlerine erişmek ve bunların şifrelerini çözmek için kullanılan kimlik bilgilerini ve anahtarları almasına olanak sağladı.
Müşteriler için işlemler
LastPass, en iyi parola uygulamalarını izleyen kullanıcıların endişelenecek bir şey olmadığını belirtir. LastPass’ın varsayılan ana parola ayarları ve en iyi uygulamaları aşağıdakileri içerir:
- 2018’den beri, ana şifreler için minimum on iki karakter gereklidir.
- LastPass, ana parolanızı tahmin etmeyi zorlaştıran bir parola güçlendirme algoritması olan Parola Tabanlı Anahtar Türetme İşlevinin (PBKDF2) 100.100 yinelemesinden oluşan normalden daha güçlü bir uygulama kullanır. LastPass hesabınız için geçerli PBKDF2 yineleme sayısını buradan kontrol edebilirsiniz.
- Ana parolanızı başka web sitelerinde asla tekrar kullanmamanız önerilir. Bu her zaman doğrudur, ancak bir parola yöneticisi kullanmanın güvenlik avantajını tamamen ortadan kaldırır. Sızan veya çalınan bir parola durumunda, tehdit aktörleri diğer hesapların kilidini açmak için kimlik bilgileri doldurma tekniklerini kullanabilir.
LastPass’a göre, bu yönergeleri izlerseniz, genel olarak mevcut parola kırma teknolojisini kullanarak ana parolanızı tahmin etmeniz milyonlarca yıl alır.
Henüz yapmadıysanız, LastPass hesaplarınızda çok faktörlü kimlik doğrulamayı (MFA) etkinleştirmenizi tavsiye ederiz, böylece şifreniz ele geçirilse bile tehdit aktörleri hesabınıza erişemez. MFA’yı etkinleştirme talimatları LastPass destek sayfalarında bulunabilir.
Son Geçiş
LastPass, dünya çapında 33 milyondan fazla kişi ve 100.000 işletme tarafından kullanıldığı bildirilen bir şifre yöneticisi sunuyor. Parola yöneticisi, çevrimiçi kimlik bilgilerini depolamak ve yönetmek için tasarlanmış bir yazılım uygulamasıdır. Ayrıca güçlü parolalar oluşturur. Genellikle, bu parolalar şifrelenmiş bir veritabanında saklanır ve bir ana parolanın arkasında kilitlenir.
Bu kadar çok parolanın koruyucusu olan LastPass, tehdit aktörleri için sulu bir avdır. Bu nedenle, ilk ihlalin daha fazla uzlaşmaya yol açabilmesi şaşırtıcı.
şifrelenmemiş veriler
Güvenlik araştırmacıları, LastPass’ın web sitesi URL’lerini şifrelenmemiş olarak saklamasından endişe duyuyor.
Bu sorular, güvenlik uyarısında şu ifadeler bulunduğu için ortaya atıldı:
“Tehdit aktörü ayrıca, hem web sitesi URL’leri gibi şifrelenmemiş verileri hem de web sitesi gibi tamamen şifrelenmiş hassas alanları içeren tescilli bir ikili biçimde saklanan şifreli saklama kabından müşteri kasası verilerinin bir yedeğini kopyalayabildi. kullanıcı adları ve şifreler, güvenli notlar ve formla doldurulmuş veriler.”
LastPass’ın neden web sitesi URL’lerini hassas alanlar olarak kabul etmediğini anlamak gerçekten zor ve bu, diğer şifrelenmemiş verilerin ne olduğunu merak etmenize neden oluyor. Sızan web sitesi URL’leri, hedefli pjhishing saldırılarına yol açabilir, bu nedenle LastPass kullanıcıları, şifrelerini LastPass’ta sakladıkları sitelerde oturum açmalarını veya şifrelerini değiştirmelerini isteyen e-postalardan ekstra bıkmalıdır. Her zaman siteyi doğrudan ziyaret edin ve e-postalardaki bağlantıları takip etmeyin. Ve her zamanki gibi yapabildiğiniz yerlerde MFA’yı etkinleştirin.
Ek bilgi istemek için LastPass’a ulaştık ve sizi burada bilgilendirmeye devam edeceğiz.
Tehditleri sadece rapor etmiyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.