LastPass, 2022'deki iki saldırıdan ders aldı LastPass, 2022'deki siber saldırılara yanıt olarak güvenliğini iyileştirmeye devam ediyor. Şifre yöneticisi artık kasalarda saklanan URL'leri korumak için önlemler alıyor.
2022'nin sonunda LastPass iki siber saldırının hedefi oldu. Soruşturmanın ardından bu iki saldırının birbiriyle bağlantılı olduğu ortaya çıktı. Bu saldırı kombinasyonunun bir sonucu olarak siber suçlular, LastPass kullanıcılarına ait çok sayıda veriyi çalmayı başardı. Her şeyden önce, bilgisayar korsanları şifreleme anahtarlarını yedekle kullanıcı kasaları
İhmaliyle dikkat çeken LastPass, şifre yöneticisinin güvenliğini artırmak için adımlar attı. Yayıncı artık kullanıcılarını en az on iki karakter içeren bir ana şifre yapılandırmaya zorluyor. LastPass ayrıca çift kimlik doğrulamanın tüm müşterileri için uygun şekilde yapılandırıldığından emin olmak istiyordu.
En son, şifre yöneticisi duyurdu tüm URL'lerin şifrelenmesi müşterilerinin kasalarında saklanmaktadır. LastPass, 22 Mayıs 2024'te yayınlanan bir basın bülteninde şunları yapabileceğini açıklıyor: “Kasanızdaki URL ile ilgili tüm alanları herhangi bir olumsuz kullanıcı deneyimi olmadan güvenli bir şekilde şifreleyin.” Kullanıcılar bir web sitesini ziyaret ettiğinde LastPass o sitenin URL'sini kontrol eder ve bunu kullanıcının şifre kasasında saklananlarla karşılaştırır. LastPass bir eşleşme bulursa, siteye giriş yapmak için kullanıcı adı ve şifre gibi kimlik bilgilerini otomatik olarak doldurmayı önerecektir.
LastPass, 2008'deki başlangıcından bu yana saklanan URL'leri şifrelemedi. Bu başarısızlığı açıklamak için şirket parmakla işaret ediyor zamanın teknolojik sınırları. On altı yıl önce, hizmet performansını düşürmeden tüm adresleri şifrelemek mümkün değildi. İşlem çok fazla bilgi işlem gücü ve bellek gerektiriyordu. Bunlarla karşı karşıya “BT kısıtlamaları”LastPass, URL'leri şifreleme fikrinden vazgeçti. Zamanla kısıtlamalar ortadan kalktı ve yayıncının şifreleme eklemesine olanak tanındı.
Potansiyel olarak hassas bilgiler
Ayrıca yayıncı, “Güvenliğimizi güçlendirmek için çok zaman ve çaba harcadık” sırasında “son 18 ay”. Dolayısıyla bu, 2022 yılı sonunda yaşanan siber saldırılara verilen yeni bir yanıttır. Saldırılar sırasında saldırganlar aslında şifrelenmemiş URL'lerin listesini çalmak müşterilerinin kasalarında saklanmaktadır. Bu adres listesi, çalınan bilgileri başka saldırılar düzenlemek için kullanmak isteyen bilgisayar korsanlarına değerli bilgiler verir.
LastPass'ın belirttiği gibi, URL'ler “saklanan kimlik bilgilerinizle ilişkili hesapların niteliğine ilişkin ayrıntıları içerir (örn. bankacılık, e-posta, sosyal medya)”. Açıkça görülüyor ki bilgisayar korsanları, şifrelerin şifresini çözmeyi başarırlarsa hangi hizmetlere saldırmaları gerektiğini doğrudan biliyorlardı. Dahası, LastPass hacklemesinin birçok kripto para birimi cüzdanının hacklenmesiyle sonuçlandığı ortaya çıktı. Siber güvenlik uzmanı Brian Krebs'e göre LastPass'tan çalınan veriler sayesinde 35 milyon dolarlık kripto para da çalındı.
Yayıncının URL şifrelemesi eklemek için her türlü çabayı göstermesinin nedeni budur. Bu önlem izin vermeli “Gizliliği artırmak için” Basın bülteninde LastPass müşterilerinin oranı belirtiliyor. Şifreleme yapılacak birkaç aşamada. Başlangıçta Temmuz 2024 civarında LastPass şifrelenecek “mevcut hesapların ve yeni hesapların birincil URL alanlarının kasalarında saklanmasını otomatik olarak sağlayın.” Ardından, şifre yöneticisi yılın ikinci yarısında kalan adres alanlarını şifreleyecektir. LastPass, kullanıcının bu gelişmiş güvenlikten yararlanmak için herhangi bir şey yapmasına gerek olmadığını belirtiyor.
Son Geçiş
2022'nin sonunda LastPass iki siber saldırının hedefi oldu. Soruşturmanın ardından bu iki saldırının birbiriyle bağlantılı olduğu ortaya çıktı. Bu saldırı kombinasyonunun bir sonucu olarak siber suçlular, LastPass kullanıcılarına ait çok sayıda veriyi çalmayı başardı. Her şeyden önce, bilgisayar korsanları şifreleme anahtarlarını yedekle kullanıcı kasaları
İhmaliyle dikkat çeken LastPass, şifre yöneticisinin güvenliğini artırmak için adımlar attı. Yayıncı artık kullanıcılarını en az on iki karakter içeren bir ana şifre yapılandırmaya zorluyor. LastPass ayrıca çift kimlik doğrulamanın tüm müşterileri için uygun şekilde yapılandırıldığından emin olmak istiyordu.
URL adresleri sonunda şifrelendi
En son, şifre yöneticisi duyurdu tüm URL'lerin şifrelenmesi müşterilerinin kasalarında saklanmaktadır. LastPass, 22 Mayıs 2024'te yayınlanan bir basın bülteninde şunları yapabileceğini açıklıyor: “Kasanızdaki URL ile ilgili tüm alanları herhangi bir olumsuz kullanıcı deneyimi olmadan güvenli bir şekilde şifreleyin.” Kullanıcılar bir web sitesini ziyaret ettiğinde LastPass o sitenin URL'sini kontrol eder ve bunu kullanıcının şifre kasasında saklananlarla karşılaştırır. LastPass bir eşleşme bulursa, siteye giriş yapmak için kullanıcı adı ve şifre gibi kimlik bilgilerini otomatik olarak doldurmayı önerecektir.
LastPass, 2008'deki başlangıcından bu yana saklanan URL'leri şifrelemedi. Bu başarısızlığı açıklamak için şirket parmakla işaret ediyor zamanın teknolojik sınırları. On altı yıl önce, hizmet performansını düşürmeden tüm adresleri şifrelemek mümkün değildi. İşlem çok fazla bilgi işlem gücü ve bellek gerektiriyordu. Bunlarla karşı karşıya “BT kısıtlamaları”LastPass, URL'leri şifreleme fikrinden vazgeçti. Zamanla kısıtlamalar ortadan kalktı ve yayıncının şifreleme eklemesine olanak tanındı.
Potansiyel olarak hassas bilgiler
Ayrıca yayıncı, “Güvenliğimizi güçlendirmek için çok zaman ve çaba harcadık” sırasında “son 18 ay”. Dolayısıyla bu, 2022 yılı sonunda yaşanan siber saldırılara verilen yeni bir yanıttır. Saldırılar sırasında saldırganlar aslında şifrelenmemiş URL'lerin listesini çalmak müşterilerinin kasalarında saklanmaktadır. Bu adres listesi, çalınan bilgileri başka saldırılar düzenlemek için kullanmak isteyen bilgisayar korsanlarına değerli bilgiler verir.
LastPass'ın belirttiği gibi, URL'ler “saklanan kimlik bilgilerinizle ilişkili hesapların niteliğine ilişkin ayrıntıları içerir (örn. bankacılık, e-posta, sosyal medya)”. Açıkça görülüyor ki bilgisayar korsanları, şifrelerin şifresini çözmeyi başarırlarsa hangi hizmetlere saldırmaları gerektiğini doğrudan biliyorlardı. Dahası, LastPass hacklemesinin birçok kripto para birimi cüzdanının hacklenmesiyle sonuçlandığı ortaya çıktı. Siber güvenlik uzmanı Brian Krebs'e göre LastPass'tan çalınan veriler sayesinde 35 milyon dolarlık kripto para da çalındı.
Yayıncının URL şifrelemesi eklemek için her türlü çabayı göstermesinin nedeni budur. Bu önlem izin vermeli “Gizliliği artırmak için” Basın bülteninde LastPass müşterilerinin oranı belirtiliyor. Şifreleme yapılacak birkaç aşamada. Başlangıçta Temmuz 2024 civarında LastPass şifrelenecek “mevcut hesapların ve yeni hesapların birincil URL alanlarının kasalarında saklanmasını otomatik olarak sağlayın.” Ardından, şifre yöneticisi yılın ikinci yarısında kalan adres alanlarını şifreleyecektir. LastPass, kullanıcının bu gelişmiş güvenlikten yararlanmak için herhangi bir şey yapmasına gerek olmadığını belirtiyor.
Kaynak :01net'ten hiçbir haberi kaçırmamak için bizi Google Haberler ve WhatsApp'tan takip edin.
Son Geçiş