İşletmeler faaliyetlerini sonlandırırken ve çalışanlar ile kullanıcılar, yıl sonu tatili için son dakika hazırlıklarının ortasında olduğundan, bilgi en kötü zamanda gelemezdi.
LastPass ihlali, müşteri kasası yedeklerinin çalınmasına neden oldu
Kendi adını taşıyan parola yöneticisinin arkasındaki şirket olan LastPass, bu yılın başlarında bir ihlal yaşadı ve bu, saldırganların üçüncü taraf bulut tabanlı depolama ortamına erişmesiyle sonuçlandı.
“Ağustos 2022 olayı sırasında hiçbir müşteri verisine erişilmezken, geliştirme ortamımızdan bazı kaynak kodları ve teknik bilgiler çalındı ve başka bir çalışanı hedef almak için kullanıldı. tabanlı depolama hizmeti,” diye açıkladı LastPass CEO’su Karim Toubba.
Saldırganlar bulut depolama erişim anahtarını ve çift depolama kapsayıcısı şifre çözme anahtarlarını ele geçirdikten sonra, müşteri hesabı bilgilerini ve ilgili meta verileri içeren yedekten aşağıdakiler dahil bilgileri kopyaladılar:
- şirket isimleri
- Son kullanıcı adları
- Fatura adresleri
- E-mail adresleri
- Telefon numaraları
- Müşterilerin LastPass hizmetine eriştiği IP adresleri
“Tehdit aktörü ayrıca, hem web sitesi URL’leri gibi şifrelenmemiş verileri hem de web sitesi gibi tamamen şifrelenmiş hassas alanları içeren tescilli bir ikili biçimde saklanan şifreli saklama kabından müşteri kasası verilerinin bir yedeğini kopyalayabildi. kullanıcı adları ve şifreler, güvenli notlar ve formla doldurulmuş veriler,” dedi Toubba.
“Bu şifrelenmiş alanlar, 256-bit AES şifreleme ile korunuyor ve yalnızca Zero Knowledge mimarimiz kullanılarak her kullanıcının ana parolasından türetilen benzersiz bir şifreleme anahtarıyla çözülebilir. Bir hatırlatma olarak, ana parola LastPass tarafından asla bilinmez ve LastPass tarafından saklanmaz veya saklanmaz. Verilerin şifrelenmesi ve şifresinin çözülmesi yalnızca yerel LastPass istemcisinde gerçekleştirilir.”
Kaç müşterinin bilgisinin ve kasa yedeğinin ele geçirildiğini söylemediler.
Şimdi ne var?
LastPass, eğer kullanıcılar en iyi güvenlik uygulamalarını takip ederse – 12’den fazla karakterden oluşan bir ana şifreye sahip olmak ve bunu diğer hesaplar için kullanmamak – mevcut şifre kırma teknolojisinin saldırganları hiçbir yere götürmeyeceğini söylüyor. Ancak değiştirmedilerse, sakladıkları web sitelerinin şifrelerini değiştirmeleri gerekir.
LastPass Birleşik Oturum Açma Hizmetlerini kullanmayan ticari müşterilerin de aynısını yapmaları önerilir.
Uzun ve benzersiz parolaların zamanında kırılması zor (ama pahalı) olsa da, daha büyük tehlike sosyal mühendislik saldırılarıdır.
“Tehdit aktörü, müşterileri LastPass kasanızla ilişkili çevrimiçi hesaplara yönelik kimlik avı saldırıları, kimlik bilgileri doldurma veya diğer kaba kuvvet saldırılarıyla da hedef alabilir. Kendinizi sosyal mühendislik veya kimlik avı saldırılarına karşı korumak için LastPass’ın sizi asla aramayacağını, e-posta göndermeyeceğini veya kısa mesaj göndermeyeceğini ve kişisel bilgilerinizi doğrulamak için bir bağlantıya tıklamanızı istemeyeceğini bilmek önemlidir. Bir LastPass istemcisinden kasanızda oturum açmanız dışında, LastPass sizden asla ana parolanızı istemez,” dedi Toubba.
Ama bu yeterli değil! LastPass web sitesi URL’lerini şifrelemediğinden, saldırganlar diğer hizmetleri taklit eden hedefli kimlik avı kampanyaları başlatmak için yeterli veriye sahiptir. Kullanıcıların adını, e-posta adresini ve telefon numarasını ve kullandıkları çevrimiçi hizmetleri biliyorlar, bu nedenle kullanıcılar önümüzdeki günlerde ve aylarda çeşitli kimlik avı girişimlerine karşı uyanık olmalıdır.
Sahte sıfırlama uyarıları olmaları muhtemeldir, gerekli eylemin nedeni olarak LastPass ihlalinden bahsetmeleri muhtemeldir ve büyük olasılıkla etki alanlarında meşru gibi görünen benzer sitelere yol açacaktır. Bu nedenle, e-postalarda verilen bağlantıları takip etmeyin ve her zaman bağımsız olarak hizmetin web sitesine gidin.
Bir LastPass kullanıcısıysanız:
- Er ya da geç tüm şifrelerinizi değiştirin (hemen değilse)
- Yapabildiğiniz her yerde iki faktörlü kimlik doğrulamayı etkinleştirin
- İnsanlar her türlü bilgiyi güvenli notlarda saklar: banka hesabı, kripto para hesabı ve kripto cüzdan verileri; hesap kurtarma ifadeleri / kodları; ödeme kartı PIN’leri; ve diğer hassas veriler. LastPass’ın çevrimiçi formlara otomatik olarak eklediği güvenli notlarınızın ve verilerinizin içeriğini değerlendirin ve değiştirilebilecekleri değiştirin.
- Ana parolanızı değiştirin (uzun, karmaşık ve benzersiz yapın)
“Maalesef ana parolalarını diğer sitelerde yeniden kullanan LastPass kullanıcıları için acı verici olan şey, bu durumun artık bir *çevrimdışı* saldırı olmasıdır – yani 2FA veya LastPass web parolasını (hatta ana parolasını) değiştirmek pek yardımcı olmaz – Saldırganlar, çalınan kasalardaki tüm kimlik bilgilerinin anlık anlık görüntüsüne sahip olur. Güvenlik araştırmacısı Kenneth White, çalındıklarında zayıf (veya daha kötüsü, daha önce sızdırılmış) bir ana parola kullanıyorsanız, yandınız,” dedi.
Pek çok kullanıcının LastPass ile hayal kırıklığına uğrayacağından ve parolalarını saklamak için alternatif bir parola yöneticisi arayacağından şüphem yok; hayat daha zor). LastPass, bir dizi ek koruma katmanı uygulamaya koyduklarını söylüyor, ancak birçok kullanıcının güveni büyük olasılıkla ortadan kalktı.
Ancak tamamen başka bir sorun olacağını tahmin ediyorum: güvenlik hakkında çok az şey bilen teknik olmayan kullanıcılar. Başka bir parola yöneticisi kullanmaya alışmakta güçlük çekebilirler VE kimlik avı girişimlerine kanma olasılıkları daha yüksektir. Bu kolayca çözülebilecek bir sorun değil ve bazı insanlar için daha az teknik çözümlerin bazen daha iyi bir alternatif olabileceğini hatırlatıyor.
LastPass kullanan kuruluşlar, kullanıcıları kimlik avı saldırısı olasılığına karşı uyararak bunun önüne geçmelidir. Her şeyi iyi açıklayın ve eyleme geçirilebilir tavsiyeler sunun.