LastPass Son Veri Sızıntısını Doğruladı: Şifreler Çalındı!

Şifre yöneticisi devi LastPass, siber suçluların bu yılın başlarında bir veri ihlaliyle kullanıcılarının şifrelerini ve diğer içeriklerini saklayan şifreli şifre kasalarını çaldığını doğruladı.

LastPass CEO'su Karim Toubba, olayla ilgili güncellenmiş bir blog gönderisinde, kötü niyetli kişilerin bir LastPass çalışanından çalınan bulut depolama anahtarlarını kullanarak kullanıcı kasası verilerinin bir yedeğinin kopyasını aldıklarını söyledi.

Kullanıcı şifre kasalarının önbelleği, hem şifrelenmemiş hem de şifrelenmiş kasa verilerini içeren "ikili aşamalı sistemde" saklanır ancak bu özel biçimin teknik ve güvenlik ayrıntıları belirtilmemiş. Şifrelenmemiş veriler, kasada depolanan web adreslerini içeriyor ancak LastPass daha fazlasını açıklamıyor. Çalınan yedeklerin ne kadar güncel olduğu ise belli değil.

LastPass, kullanıcıların şifre kasalarının şifreli olduğunu ve yalnızca kullanıcıların bildiği, bu nedenle yalnızca kullanıcının ana şifresiyle açılabileceğini söyledi ancak şirket, olayın arkasındaki siber suçluların "ana şifrenizi tahmin etmek ve aldıkları kasa verilerinin kopyalarının şifresini çözmek için kaba kuvvet kullanmaya çalışabilecekleri" konusunda uyardı.

İki Faktörlü Kimlik Doğrulamanın Açık Olması Oldukça Önemli

Toubba, siber suçluların adlar, e-posta adresleri, telefon numaraları ve bazı fatura bilgileri dâhil olmak üzere çok sayıda kullanıcı verisini de ele geçirdiğini söyledi.

Şifre yöneticileri, tümü uzun, karmaşık ve her site veya hizmet için benzersiz olması gereken şifrelerinizi saklamak için çoğunlukla iyi birer platform olsalar da bunun gibi güvenlik olayları, tüm şifre yöneticilerinin eşit yaratılmadığını ve farklı şekillerde saldırıya uğrayabileceğini veya tehlikeye atılabileceğini hatırlatıyor. Herkesin tehdit modelinin farklı olduğu göz önüne alındığında, hiç kimse diğeriyle aynı güvenliğe sahip olmayacak.

İyi haber şu ki, iki faktörlü kimlik doğrulama ile korunan herhangi bir hesap, bir saldırganın, telefon açılır penceresi veya kısa mesaj veya e-posta kodu gibi ikinci faktör olmadan hesaplarınıza erişmesini çok daha zorlaştıracak.