LastPass şifre yöneticisi kullanıcıları, kimlik doğrulayıcı uygulamalarını sıfırlamaları istendikten sonra Mayıs ayının başından itibaren önemli oturum açma sorunları yaşıyor.
Şirket ilk olarak, planlanan güvenlik yükseltmeleri nedeniyle kullanıcıların LastPass hesaplarına tekrar giriş yapmaları ve çok faktörlü kimlik doğrulama tercihlerini sıfırlamaları gerekebileceğini duyurdu. 9 Mayıs’ta.
Ancak, o zamandan beri çok sayıda kullanıcının hesapları kilitlendi ve MFA uygulamalarını (ör. LastPass Authenticator, Microsoft Authenticator, Google Authenticator) başarılı bir şekilde sıfırladıktan sonra bile LastPass kasalarına erişemiyor.
LastPass desteğine ulaşmak hesaplarında oturum açmayı gerektirdiğinden, etkilenen müşteriler destekten yardım isteyemezler, çünkü MFA kimlik doğrulayıcılarını sıfırlamalarının istendiği sonsuz bir döngüde kilitli kalırlar.
Bir kullanıcı, “MFA’nın zorunlu yeniden senkronizasyonu artık oturum açmamı engelliyor çünkü LastPass yeni MFA kodunu tanımayacak.” söz konusu.
“MFA’mı sıfırladıktan sonra Kasama erişimimi tamamen kaybettim. MasterPW çalışmıyor ve sıfırlanıyor ve ayrıca sıfırlama e-postası bana asla teslim edilmiyor. Oturum açmak gerektiğinden ‘Premium’ Desteğimle iletişime geçemiyorum.”
“Ana parolayı yeniden girmem istendi, ardından MFA’yı güncellemek zorunda kaldım, bunu başarıyla yaptım ve şimdi hiç oturum açamıyorum. Bunu yapmak için oturum açmanız gerektiğinden bir destek bileti bile açamıyorum. yani,” dedi bir kullanıcı, LastPass topluluk web sitesinde yardım istedi.
LastPass, MFA sıfırlamalarının ilk duyurudan “birkaç hafta” önce uygulama içi mesajlarla duyurulduğunu söylüyor.
Bu, LastPass’ı, güvenlik yükseltmeleri hakkında bunun şifre yinelemelerini yeni varsayılan 600.000 turluk yeni varsayılana çıkarmak için yapıldığını açıklayan birkaç danışma belgesi yayınlamaya teşvik etti.
Etkilenen kullanıcılara gönderilen bir LastPass destek bülteni, “Ana parolanızın güvenliğini artırmak için LastPass, Parola Tabanlı Anahtar Türetme İşlevinin (PBKDF2) normalden daha güçlü bir sürümünü kullanır” diye açıklıyor.
“En temelde, PBKDF2 bir ‘şifre güçlendirme algoritması’ olup, bir bilgisayarın tehlikeye atılan bir saldırı sırasında herhangi bir 1 parolanın doğru ana parola olduğunu kontrol etmesini zorlaştırır.”
Şirket, “Müşterinin tüm parola yinelemelerini artırdığımız için zorunlu oturum kapatma + MFA yeniden eşitleme olayları gerçekleşiyor. Bunun, LastPass Vault’unuzun şifrelenmesiyle ilgisi var.” tweet attı.
Başka bir danışma belgesinde şirket, kullanıcıların LastPass’ta oturum açarken güvenlikleri için çok faktörlü kimlik doğrulamaya yeniden kaydolmalarının istendiğini söylüyor.
Şirket, “Mobil cihazınızda LastPass’e tekrar erişebilmek için tarayıcınızda LastPass web sitesinde oturum açmalı ve MFA uygulamanızı yeniden kaydettirmelisiniz. LastPass tarayıcı uzantısını veya LastPass Password Manager uygulamasını kullanarak yeniden kaydolamazsınız.” açıklar.
LastPass ile kimlik doğrulama uygulaması (LastPass Authenticator, Microsoft Authenticator veya Google Authenticator) arasındaki eşleştirmeyi sıfırlamak için gereken ayrıntılı prosedür bu destek belgesinde ayrıntılı olarak açıklanmaktadır.
LastPass kullanarak bir web sitesinde veya uygulamada bir sonraki oturum açışınızda, konumunuzu doğrulamanız istenecektir. LastPass’ı kullanarak oturum açtığınız bir web sitesinde veya uygulamada oturum açtığınızda, kimlik bilgilerinizi tekrar girmeli ve kimlik doğrulayıcı uygulamanızı kullanarak kimlik doğrulaması yapmalısınız.
Ek bir güvenlik önlemi olarak LastPass kullanan bir web sitesine veya uygulamaya bir sonraki girişlerinde kullanıcılardan konumlarını doğrulamaları da istenecek.
Aynı sürecin bir parçası olarak, kullanıcıların oturum açma kimlik bilgilerini yeniden girmeleri ve kimlik doğrulayıcı uygulamalarını kullanarak kimliklerini yeniden doğrulamaları istenecektir.
“2022 olaylarının ardından, önlem olarak müşteri tabanımıza MFA sırlarını tercih ettikleri Authenticator Uygulaması ile sıfırlamalarını öneren e-posta ve ürün içi iletişimler gönderdik. Bu öneri, B2C’ye gönderdiğimiz Güvenlik Bültenlerinde de yer aldı. bir LastPass sözcüsü BleepingComputer’a “Mart başında B2B müşterileri ve Nisan başında ikinci bir e-posta iletişimi” dedi.
“Ancak, müşterilerimizin bir kısmı hala bu eylemi gerçekleştirmedi, bu nedenle onları LastPass’a bir sonraki girişlerinde harekete geçmeleri konusunda uyardık. e-postalarımızdan daha fazla yanıt alın.”
Bu sorunlar, LastPass’in Aralık 2022’de tehdit aktörlerinin büyük miktarda kısmen şifrelenmiş müşteri bilgilerini ve şifre kasası verilerini çalmasının ardından bir güvenlik ihlali ifşa etmesinden sonra ortaya çıkıyor.
Aralık ayı ihlali, saldırganların ilk ihlalden çalınan verileri kullanarak şirketin şifreli Amazon S3 klasörlerine erişim elde ettiği Ağustos 2022’deki başka bir ihlalden kaynaklandı.