Parola yönetimi devi LastPass, bu ayın başlarında, tehdit aktörleri tarafından özel bilgilerin çalındığı bir güvenlik olayının ayrıntılarını açıkladı.
Şirket, izinsiz girişlerin iki hafta önce gerçekleştiğini söyledi. Firma, saldırının iki hafta önce gerçekleştiğini söyledi.
“Yetkisiz bir tarafın, güvenliği ihlal edilmiş tek bir geliştirici hesabı aracılığıyla LastPass geliştirme ortamının bölümlerine erişim elde ettiğini ve kaynak kodunun bölümlerini ve bazı özel LastPass teknik bilgilerini aldığını belirledik. Ürünlerimiz ve hizmetlerimiz normal şekilde çalışıyor.”
“Olaya yanıt olarak, sınırlama ve azaltma önlemleri uyguladık ve önde gelen bir siber güvenlik ve adli tıp firmasıyla anlaştık. Soruşturmamız devam ederken, bir sınırlama durumuna ulaştık, ek gelişmiş güvenlik önlemleri uyguladık ve yetkisiz faaliyete dair başka bir kanıt göremedik.”
LastPass, ihlalde müşteri verilerine veya şifreli parola kasalarına erişildiğine dair hiçbir kanıtı olmadığını vurguladı. İhlal geliştirici ortamına doğrulandı.
Firma, bir SSS’de “Ana Parolanızı asla saklamayız veya bu parola hakkında bilgi sahibi olmayız… LastPass’in müşterilerimizin Ana Parolasını asla bilememesini veya bunlara erişmemesini sağlayan endüstri standardı bir Sıfır Bilgi mimarisi kullanıyoruz” dedi.
Müşteriler bu noktada ihlal hakkında hiçbir şey yapamazlar.
2015 yılında, tehdit aktörleri LastPass hesabı e-posta adreslerine, kimlik doğrulama karmalarına, parola hatırlatıcılarına ve “kullanıcı başına sunucu tuzlarına” erişmeyi başardı.
2021’de LastPass, LogMeIn tarafından o yıl 125 milyon dolara satın alındıktan sonra tekrar bağımsız bir şirket olacağını duyurdu.