LastPass bir sefer daha hacklendi! Bu sefer kullanıcı bilgileri de ortaya çıktı

33 milyondan fazla müşterisi ve 100.000 işletme kullanıcısıyla övünen tanınan şifre yöneticisi LastPass, tekrar akına uğradı. Şirket, geçen seferden farklı olarak bu son olayda kullanıcı datalarının açığa çıktığını söylüyor lakin şifrelerin ele geçirilmediğini vurguluyor.

LastPass CEO’su Karim Toubba yaptığı açıklamada, “Kısa bir mühlet evvel, hem LastPass hem de bağlı kuruluşu GoTo tarafından paylaşılan bir üçüncü taraf bulut depolama hizmetinde olağandışı aktiflik tespit ettik. Çabucak bir soruşturma başlattık. Önde gelen siber güvenlik firması olan Mandiant’ı görevlendirdik ve kolluk kuvvetlerine haber verdik.” açıklamasında bulundu.

Kullanıcı bilgileri açığa çıktı

Yapılan hücum sonucunda kullanıcı datalarının “belirli öğelerine” erişim sağlandığı belirtiliyor. Lakin bu dataların hangi bilgileri içerdiği ise açıklanmadı. Akının ise ağustos ayında yapılan taarruzdan elde edilen bilgiler sayesinde gerçekleştirildiği söyleniyor. Güvenliği ihlal edilmiş bir geliştirici hesabı kullanarak hizmete erişim sağlayan saldırganlar, fark edilmeden dört gün boyunca sistem içerisinde kalmışlar.

Şifreler güvende

LastPass, Zero Knowledge mimarisi sayesinde kullanıcıların şifrelerinin inançta kaldığını vurguluyor. Bu mimari sayesinde şifreleri sırf kullanıcı görebiliyor ve şifreleme süreci aygıt seviyesinde gerçekleşiyor. Bu nedenle LastPass, kullanıcılarının şifrelerini değiştirmesi üzere rastgele bir teklifte bulunmuyor.

LastPass bir yılda iki sefer hücuma uğradı

Öte yandan LastPass, 2017’de tarayıcı uzantısı temelli bir güvenlik açığının olduğunu bildirmişti. Şirket ayrıyeten 2019 yılında kullanıcıların giriş bilgilerinin çalınabileceği bir güvenlik açığını kapattıklarını açıklamıştı. Bu yılkı hücumda ise LastPass’in kaynak kodu ve birtakım teknik bilgileri çalınmıştı.

Eğer bu olaylardan ötürü telaş duyan LastPass kullanıcısıysanız, hesabınızı korumak için iki adımlı doğrulamayı aktifleştirmenizi ve belli aralıklarla şifrelerinizi devamlı olarak yenilemenizi tavsiye ederiz. Öte yandan hizmet aldığınız rastgele bir serviste şayet iki adımlı doğrulama özelliği varsa kullanmaya ihtimam göstermenizi öneriyoruz.