Password Manager ‘LastPass’ müşterilerine, kaynak kodlarının ve teknik bilgilerinin bir kısmının alındığı geliştirme ortamını hedefleyen son güvenlik olayı hakkında bilgi verdi. Spesifik olarak, saldırganlar Ağustos 2022’de dört günlük bir süre boyunca iç sistemlerine erişime sahipti.
“Belirlenen zaman çizelgesinin ötesinde herhangi bir tehdit aktörü faaliyetine dair bir kanıt yok. LastPass CEO’su Karim Toubba, bu olayın müşteri verilerine veya şifreli parola kasalarına herhangi bir erişim içerdiğine dair hiçbir kanıt bulunmadığını da doğrulayabiliriz.
Hackerlar Dört Gün Boyunca Dahili Erişim Kazandı
Raporlar, saldırganların bir geliştiricinin güvenliği ihlal edilmiş uç noktasını kullanarak “Geliştirme ortamına” ulaştığını söylüyor. İlk girişin doğru yöntemi ‘sonuçsuz’ kalır, saldırgan, geliştiricinin kimliği çok faktörlü kimlik doğrulama kullanılarak doğrulandıktan sonra ‘geliştiricinin kimliğine bürünmek’ için kalıcı erişimini kullandı.
“Tehdit aktörü Geliştirme ortamına erişebilse de, sistem tasarımımız ve kontrollerimiz tehdit aktörünün herhangi bir müşteri verisine veya şifreli parola kasalarına erişmesini engelledi”, LastPass
Genel olarak, şirketin Geliştirme ortamının Üretim ortamına doğrudan bağlantısı yoktur ve şirket, Geliştirme ortamının herhangi bir müşteri verisi veya şifreli kasa içermediğini söyler.
Ayrıca, şirketin müşterilerin kasalarının ana şifrelerine erişimi yoktur.
“Ana parola olmadan, Sıfır Bilgi güvenlik modelimizin bir parçası olarak kasa sahibi dışında hiç kimsenin kasa verilerinin şifresini çözmesi mümkün değildir”. LassPass açıklıyor.
Özellikle şirket, kod bütünlüğü kontrolü sırasında ‘kod zehirlenmesi’ veya ‘kötü amaçlı kod enjeksiyonu’ kanıtı olmadığını onaylar. Ayrıca geliştiricilerin, kaynak kodunu Geliştirme ortamından Üretim’e gönderme izni yoktur.
LastPass, mevcut kaynak kodu güvenlik uygulamalarını iyileştirmek için önde gelen bir siber güvenlik firmasıyla ortaklık kurduklarını söylüyor. Buna güvenli yazılım geliştirme yaşam döngüsü süreçleri, tehdit modelleme ve güvenlik açığı yönetimi ve hata ödül programları dahildir.
Son olarak LastPass, hem Geliştirme hem de Üretim ortamlarımızda gelişmiş güvenlik kontrolleri, ek tehdit istihbaratı yetenekleri ve gelişmiş algılama ve önleme teknolojilerinin devreye alınmasını sağlar.LastPass, “Her türlü güvenlik olayının rahatsız edici olduğunun farkındayız ancak kişisel verilerinizin ve şifrelerinizin bizim gözetimimizde güvende olduğundan emin olmak istiyoruz”.
Ücretsiz Yazılım Yazılımını İndirin – Güvenli Web Filtreleme – E-kitap