En popüler parola yöneticileri arasında yer alan LastPass, 2022’yi hiç iyi geçirmedi, 2023 kapsamında da iyi haberler ile gündeme gelmiyor.
Bir parola yöneticisi kullanmak hayatınızı çok rahatlatıyor ve bu konuda en iyi çözümlerin başında 1Password ve LastPass geliyor. Kredi kartı bilgileri, parolalar ve fazlası çok önemli bilgiyi emanet ettiğimiz bu servisler, bu veriler nedeniyle kötü niyetli kişilerin iştahını kabartıyor. Çünkü bu servislerde saklanan içerikler gerçekten çok değerli ve ele geçirilmeleri halinde inanılmaz yüksek paralara satılacak yapıdalar. Bu yüzden sürekli olarak hedef alan parola yöneticileri, güçlü koruma yöntemlerine rağmen zaman zaman ciddi sorunlar yaşayabiliyor. Bu sorunlardan birisi geçtiğimiz yılın ağustos ayında gündeme gelmişti. LastPass, hacker’ların ağustos ayında sistemlerine dört gün boyunca erişim sağladığını tespit ettiklerini söylemişti. Bu konuda siber güvenlik firması Mandiant ile ortak çalışmalar yürüten şirket, sevindirici şekilde parola gibi önemli kullanıcı verilerinin ele geçirilmediğini açıklamıştı. Hacker’lar o zaman söylendiği kadarıyla LastPass’ın sistemlerine erişim sağladıkları dört gün boyunca sadece bazı kaynak kodlarına ve teknik bilgiye ulaşım sağladı. Firma bunun üstüne bir siber saldırıya daha uğradı ve bu saldırı ağustos ayında ele geçirilen bazı kaynak kodları üzerinden yapıldı.
Konu hakkında bir açıklama yapan şirket CEO’su Karim Toubba, hacker’ların şirket tarafından kullanılan üçüncü parti bir bulut depolama hizmetine erişim sağladığını ve buradan müşterilerin bilgilerinin belirli kısımlarını ele geçirdiklerini aktarmıştı. O zaman yeni sızıntıda daha parola gizliliği bozulmadı yani hacker’lar kayıtlı parolalara erişim sağlayamadı bilgisi verilmişti. Ancak bu saldırı daha sonra göründüğünde daha kötü çıktı. Paylaşılan bilgilere göre son saldırıda hacker’lar bazı kullanıcıların “şifrelenmiş” parola verilerine ve diğer kişisel bilgilere ulaştı. Burada “şifrelenmiş” kısmı önemli çünkü sızdırılan parolalar ve diğer verilere bakılabilmesi için şifrelemenin kırılması gerekiyor. Parolalar firmanın açıklamasına göre 256-bit AES şifreleme ile korunuyor ve ancak her kullanıcının ana parolasından türetilen benzersiz bir şifreleme anahtarı ile çözülebiliyor. “Ana parola LastPass tarafından asla bilinmez, saklanmaz veya korunmaz.” diyen Karim Toubba, bu açıdan ortada büyük bir risk olmadığını söylüyor ancak elbette şifrelerin kırılamayacağını kimse garanti etmiyor.
Peki bu tüm olaylar nasıl oldu? Firmanın sistemlerine nasıl giriş sağlandı? Şirket tarafından yeni yapılan açıklamaya göre saldırılardan bir tanesi direkt olarak LastPass çalışanının bilgisayarına girilmesi üzerinden gerçekleştirilmiş. Bir DevOps mühendisinin PC’sine üçüncü parti bir medya yazılımı üzerinden tuş basımlarını kaydeden “keylogger” malware’i eklenmiş ve bu sayede mühendisin kullandığı ana parola ele geçirilmiş. Bu sayede firmanın sistemlerine giriş yaparak çok önemli verileri ele geçiren hacker’lar, bu hedefli saldırı ile Amazon S3 bulut altyapısında depolanan müşteri yedekleri için şifreleme anahtarlarına dahi erişim sağlamayı başarmış.
33 milyondan fazla kullanıcıya sahip olan firma, 2015 yılında da hack’lenmiş ve o zaman kullanıcıların e-posta adresleri, kimlik doğrulama verileri, parola hatırlatıcıları ve diğer bazı bilgileri kötü niyetli kişilerin eline geçmişti. Son saldırı sonrasında yaşananlar nedeniyle kullanıcılara LastPass içerisinde kaydettikleri parolaları tek tek değiştirmesi ve artık başka bir parola yöneticisi kullanması tavsiye ediliyor.