Milyonlarca kullanıcı olan LastPass, kullanıcıların şifrelerinin çalındığını duyurdu!

Popüler şifre yöneticisi uygulaması LastPass, bugün yaptığı açıklamalarda bu yıl içinde gerçekleşen önceki güvenlik açıklarında kullanıcıların şifre gibi hassas bilgilerinin olduğu “kasaların” çalındığını duyurdu. Öte yandan yapılan bu açıklamanın aylar sonra gelmesi ise dikkatleri çekti.

Kullanıcı şifrelerinin olduğu kasa çalındı

Sizlere daha önce verdiğimiz haberlerde LastPass’in Ağustos ayında hacklendiğini ve ardından Kasım ayının sonunda da önceki saldırıdan elde edilen bilgilerle tekrar bir saldırının gerçekleştiği ve kullanıcı verilerinin “belirli unsurlarına” erişildiğinden bahsetmiştik. LaspPass o dönemlerde kullanıcıların hangi verilerinin çalındığını açıkça söylememişti… Şimdiye kadar.

Bugün, LastPass CEO’su Karim Toubba, tarafından paylaşılan bir blog gönderisinde daha önce çalınan bulut depolama anahtarlarını kullanarak saldırganların müşteri kasası verilerinin bir yedeğini çaldıklarını açıkladı. Müşteri şifre kasalarının önbelleği, hem şifrelenmemiş hem de şifrelenmiş kasa verilerini içeren “tescilli bir ikili formatta” saklanır, ancak bu tescilli formatın teknik ve güvenlik ayrıntıları belirtilmemiş durumda. Çalınan yedeklerin ne kadar güncel olduğu da net değil.

Yine de şirket, güçlü bir ana parolanız varsa güvende olabileceğinizi iddia ediyor. Bununla birlikte, zayıf bir ana parolaya sahipseniz şirket, “ekstra bir güvenlik önlemi olarak, sakladığınız web sitelerinin parolalarını değiştirerek riski en aza indirmeyi düşünmelisiniz” diyor.

Toubba, saldırılar sonucunda kullanıcıların isimleri, e-posta adresleri, telefon numaraları ve bazı fatura bilgileri dahil olmak üzere çok sayıda müşteri verisinin de ele geçirildiğini söyledi.

LastPass şifre kasaları güvenli mi?

LastPass’e göre şifrelenmiş veriler 256 bit AES şifreleme ile güvence altına alınmış ve yalnızca her kullanıcının ana parolasından türetilen benzersiz bir şifreleme anahtarı ile bunların şifresi çözülebilir. LastPass ayrıcı bu ana parolanın kendi sunucularında saklanmadığını ve firmanın bu şifreyi göremediğini de belirtiyor.

LastPass’e göre çalınan şifre kasaları her ne kadar kullanıcıların tüm şifre bilgilerini içeriyor olsa da kırılmasının çok zor olduğunu ve geleneksel yöntemlerle ana parolanın tahmin edilmesinin milyonlarca yıl süreceğini ifade ediyor.

Tüm bu bilgilerin ışığında LastPass’in bu yüksek önem derecesine sahip bilgiyi neden Kasım ayında veya Ağustos ayındaki saldırı sonucunda paylaşmadığı bir muamma. Dünya çapında 33 milyondan fazla kişi ve 100.000 işletme tarafından kullanılan LastPass’e gelen tepkiler de yoğunlaşmış durumda. Öte yanda eğer LastPass kullanıcısı iseniz ve zayıf şifreler kullanıyorsanız bunları güncellemenizi ve eğer mümkünse üyeliğiniz bulunduğu her yerde iki adımlı doğrulamayı kullanmanızı öneririz.