Milyonlarca kullanıcının oturum açma kimlik bilgilerini içeren kişisel ayrıntılar ve şifre kasaları artık suçluların elinde. Parola yöneticisi LastPass'ı daha önce kullandıysanız, her şey için tüm parolalarınızı şimdi değiştirmelisiniz. Ve kendinizi korumak için hemen daha fazla önlem almalısınız.
2022 LastPass Veri İhlalinde Ne Oldu?
LastPass, "ücretsiz" bir model üzerinde çalışan bir parola yönetim hizmetidir. Kullanıcılar, LastPass ile çevrimiçi hizmetler için tüm parolalarını ve oturum açma bilgilerini saklayabilir ve bunlara web arayüzü, tarayıcı eklentileri ve özel akıllı telefon uygulamaları aracılığıyla erişebilir.
Parolalar, tek bir ana parola ile korunan "kasalarda" saklanır.
Ağustos 2022'de LastPass, suçluların LastPass geliştirme ortamına, kaynak koduna ve teknik bilgilere erişmek için güvenliği ihlal edilmiş bir geliştirici hesabı kullandığını duyurdu.
LastPass'ın bazı müşteri verilerinin ifşa edildiğini eklediği Kasım 2022'de daha fazla ayrıntı yayınlandı.
İhlalin gerçek boyutu, 22 Aralık'ta bir LastPass blog gönderisi suçluların önceki saldırıda elde edilen bilgilerin bir kısmını yedek verileri çalmak için kullandığını kaydetti. müşteri adları, adresler ve telefon numaraları, e-posta adresleri, IP adresleri ve kısmi kredi kartı dahil sayılar. Ek olarak, şifrelenmemiş web sitesi URL'leri ve site adlarının yanı sıra şifrelenmiş kullanıcı adları ve şifreleri içeren kullanıcı şifre kasalarını çalmayı başardılar.
Suçluların LastPass Ana Parolanızı Kırması Zor Mu?
Teorik olarak, evet, bilgisayar korsanları ana parolanızı kırmayı zor bulmalıdır. LastPass blog yazısı, önerilen varsayılan ayarları kullanırsanız, "genel olarak mevcut parola kırma teknolojisini kullanarak ana parolanızı tahmin etmenin milyonlarca yıl alacağını" belirtiyor.
LastPass, ana parolanın en az 12 karakter olmasını gerektirir ve "ana parolanızı asla başka web sitelerinde tekrar kullanmamanızı" önerir.
Ancak, LastPass, kullanıcıların ana parolalarını kaybetmeleri durumunda onlara hatırlatmak için bir parola ipucu belirlemesine olanak sağlaması bakımından parola yönetimi hizmetleri arasında benzersizdir.
Etkili bir şekilde, bu, kullanıcıları gerçekten rastgele güçlü bir parola yerine, parolalarının bir parçası olarak sözlük sözcüklerini ve tümceciklerini kullanmaya teşvik eder. Parolanız "lVoT=.N]4CmU" ise hiçbir parola ipucu yardımcı olmaz.
LastPass şifre kasaları bir süredir suçluların elinde ve şifreli olmalarına rağmen sonunda kaba kuvvet saldırılarına maruz kalmak.
Saldırganlar, yaygın olarak kullanılan şifrelerin büyük veritabanlarının varlığı sayesinde işlerini daha kolay bulacaktır. 613 milyon en yaygın şifreyi içeren 17 GB'lık bir şifre listesini şu adresten indirebilirsiniz: Doğrulanmış, örneğin. Diğer parola ve kimlik bilgileri listeleri karanlık ağda mevcuttur.
Yarım milyar en yaygın anahtarın her birini ayrı bir kasada denemek dakikalar alır ve görece az sayıda olmasına rağmen gereken 12 karakter olsa bile, siber suçluların büyük olasılıkla kasalar.
Buna, bilgi işlem gücünün yıldan yıla arttığını ve motive olmuş suçluların bu çabaya yardımcı olmak için dağıtılmış ağları kullanabileceği gerçeğini ekleyin; Hesapların çoğu için "milyonlarca yıl" mümkün görünmüyor.
LastPass İhlalleri Sadece Parolaları Etkiler mi?
Suçluların LastPass kasanıza girmek için zaman ayırabilecekleri manşet haberi olsa da, avantaj elde edebilirler adınızı, adresinizi, telefon numaranızı, e-posta adresinizi, IP adresinizi ve kısmi kredi kartınızı kullanarak başka şekillerde sizden sayı.
Bunlar, aşağıdakiler de dahil olmak üzere bir dizi hain amaç için kullanılabilir: size ve kişilerinize yönelik spearphishing saldırıları, kimlik hırsızlığı, kendi adınıza kredi ve borç alma ve SIM değiştirme saldırıları.
LastPass Veri İhlallerinden Sonra Kendinizi Nasıl Koruyabilirsiniz?
Birkaç yıl içinde ana parolanızın ele geçirileceğini ve içerdiği tüm parolaların suçlular tarafından bilineceğini varsaymalısınız. Bunları şimdi değiştirmeli ve daha önce hiç kullanmadığınız ve yaygın olarak kullanılan şifre listelerinde olmayan benzersiz şifreler kullanmalısınız.
LastPass'tan elde edilen diğer veri suçluları ile ilgili olarak, kredini dondurmalısın, ve adınıza yeni kart veya kredi başvurularını izlemek için bir kredi izleme hizmetinden yararlanın. Telefon numaranızı çok fazla zahmete girmeden değiştirebiliyorsanız, onu da yapmalısınız.
Kendi Güvenliğinizin Sorumluluğunu Alın
Şifre kasalarınızın ve kişisel bilgilerinizin suçluların eline geçmesine neden olan veri ihlalleri için LastPass'ı suçlamak kolaydır. ancak hayatınızı güvence altına alan ve benzersiz kombinasyonlar oluşturmanıza yardımcı olan parola yönetimi hizmetleri, çevrimiçi ağınızı güvence altına almanın en iyi yoludur. hayat.
Hırsızların hayati verilerinizi ele geçirmesini zorlaştırmanın bir yolu, kendi donanımınızda bir parola yöneticisi barındırmaktır. Ucuzdur, uygulaması kolaydır ve VaultWarden gibi bazı çözümler Raspberry Pi Zero'da bile kullanılabilir.