LastPass yine saldırıya uğradığını itiraf etti

Şifre yöneticisi LastPass'a saldırıda çalınan kişisel veriler

Şifre yöneticisi LastPass, sunucularının dört yıl içinde ikinci kez saldırıya uğradığını itiraf etti. Ancak, şirket, bilgisayar korsanlarının kullanıcıların şifreleriyle yaptıklarına dair kanıt bulunmadığı konusunda ısrar ediyor.

LastPass CEO'su, şirketin web sitesinde yayınlanan bir blog yazısında, hırsızların hesap e-posta adreslerine, şifre hatırlatıcılarına ve kimlik doğrulama karmaşasına erişmeyi başardıklarını söyledi. Bu karışıklıklar potansiyel olarak müşterilerin ana şifrelerini hesaplamak için kullanılabilir ve sonuç olarak kullanıcıların kasalarındaki tüm şifreleri açar. Bununla birlikte, LastPass özellikle güçlü bir karma yordamı kullandığından, hırsızların düşünülebilecek her şifre kombinasyonunu denedikleri kaba kuvvet saldırısı kullanarak birçok şifreyi kırabilecekleri pek mümkün değildir.

Bununla birlikte, şirket müşterilerini korumak için hala önlem alıyor. Yeni bir cihazdan veya IP adresinden giriş yapan herhangi birinin, iki faktörlü kimlik doğrulaması kullanmadıkça, orijinal hesap sahibi olduklarını doğrulamak için e-posta ile gönderilen bir doğrulama bağlantısını tıklaması gerekir. Şirket ayrıca tüm kullanıcılardan ana şifrelerini değiştirmelerini isteyecek.

Bir kaba kuvvet saldırısına en hassas olan ana şifreler zayıf, sözlük tabanlı girişlerdir (uzman1, şifre6 veya 3456789 gibi) veya diğer sitelerde tekrar kullanılmış şifrelerdir. LastPass, bu tür şifrelere sahip müşterileri hızlı hareket etmeye çağırıyor, ancak CEO "ne olursa olsun, LastPass hesabınızda güvende olduğunuza eminiz" diyor.

Güvenlik uzmanları, LastPass müşterilerinin endişelenmemesi gerektiği konusunda hemfikirler. “Her zamanki gibi panik yapmayın” diye yazıyor bağımsız güvenlik uzmanı Graham Cluley kendi blogunda. "Gökyüzü düşmüyor. Hesabınızı daha iyi güven altına almak için makul adımları izleyin - LastPass'in tavsiyesi iyidir."

En büyük tehlike, çalınan e-posta adreslerinin listesinin, LastPass müşterilerinin ana parolalarını teslim etmek için göz kamaştırdıkları kimlik avı saldırılarını sürdürmek için kullanılmasıdır. Cluley, "Çalınan bilgilerin arasında hesap e-posta adreslerinin bir veritabanı olduğu görülüyor - kimlik avcılarına ve kimlik hırsızlarına şifre yönetim şirketi olarak poz veren e-posta tabanlı saldırılar yapma fırsatı." Bu kimlik avı e-postaları, eğer saldırganlar kullanıcıları parola hatırlatmalarını göstererek orijinal olduklarına ikna edebilirlerse daha etkili olabilirler.

LastPass, 2011'de de benzer bir saldırının kurbanı oldu ve ardından, kullanıcıları tekrar ana şifrelerini değiştirmeye zorladı ve LastPass hesaplarına yeni IP adreslerinden erişmeye çalışırken ekstra doğrulama gerekli oldu. Bu olaydan sonra LastPass müşterileri arasında yaygın bir şifre hırsızlığı bildirimi yoktu.