LastPass, şifre güvenliğinde iyi bilinen ve güvenilir bir isimdir ancak ihlal geçmişi, bir alternatifi düşünmenize neden olabilir.

Temel Çıkarımlar

  • LastPass, 2015'te kullanıcı e-postalarının ve ana şifrelerinin açığa çıkmasına neden olan bir ihlal de dahil olmak üzere geçmişte çok sayıda veri ihlali yaşadı. Ancak ekstra güvenlik katmanları kullanan kullanıcıların çoğunluğunun ihlale karşı güvende olduğu görülüyor.
  • LastPass, 2021'de Android uygulamasının üçüncü taraf izleyiciler içerdiği keşfedildiğinde eleştirilerle karşı karşıya kaldı ve bu da güvenlikle ilgili endişeleri artırdı. LastPass, izleyicilerin uygulama telemetrisi için kullanıldığını ve kullanıcılar tarafından devre dışı bırakılabileceğini belirterek yanıt verdi.
  • LastPass, 2022'de saldırganların müşteri verilerine ve kullanıcı kasası bilgilerine eriştiği önemli bir ihlal yaşadı. Bu ihlal, LastPass ve ana şirketi GoTo için, çalınan şifrelenmiş yedeklemeler ve erişilen bir şifreleme anahtarının kanıtları da dahil olmak üzere başka sonuçlara yol açtı.
    • instagram viewer
  • Genel olarak, LastPass genel olarak güvenli kabul edilse de, birden fazla ihlal ve güvenlik olayı, bazı kullanıcıların ele geçirilmemiş alternatif şifre yöneticileri aramasına yol açtı.

Birçoğumuz özel verilerimizi güvende tutmak için şifre yöneticileri kullanıyoruz ve LastPass en popüler seçeneklerden biri. Ancak LastPass, müşterilerin hassas bilgilerini riske atarak veri ihlallerinden payına düşeni aldı.

Peki LastPass kaç kez saldırıya uğradı ve kullanımı hâlâ güvenli mi?

1. LastPass 2015 İhlali

İmaj Kredisi: Ervins Strauhmanis/Flickr

İlk LastPass saldırısı, şirketin kuruluşundan yedi yıl sonra, Haziran 2015'te gerçekleşti. Bu ciddi ihlal, LastPass kullanıcılarının e-postalarını ve ana şifrelerini ve ayrıca ana şifreleri hatırlamak için kullanılan ipucu veya hatırlatma sözcüklerini açığa çıkardı. Saldırı, LastPass'ın şüpheli ağ etkinliğini tespit etmesiyle fark edildi ve bu etkinlik kısa sürede engellendi. Ancak zaten bir miktar hasar oluşmuştu.

İçinde müşterilere artık süresi dolmuş not (İnternet Arşivi'nden edinilebilir), LastPass kullanıcılara, şifrelerinde karma ve tuzlama gibi ekstra güvenlik katmanları kullananların saldırıya karşı muhtemelen güvende oldukları konusunda bilgi verdi. Neyse ki LastPass kullanıcılarının çoğunluğu bu güvenlik yöntemlerini kullanıyor; bu da müşterilerin yalnızca küçük bir kısmının etkilenme şansına sahip olduğu anlamına geliyor.

LastPass ayrıca saldırı nedeniyle herhangi bir kullanıcı hesabına erişildiğine inanmadığını belirtti ancak şu çağrıda bulundu: kullanıcıların e-posta adreslerini doğrulamaları ve herhangi bir hafta yenilemeleri veya tekrar tekrar kullandıkları ana şifreleri artırmak için güvenlik.

Hack'ten birkaç hafta sonra, LastPass bir blog yazısı yayınladı Hack'ten bu yana güvenliğinin arttığını ve müşterileri daha fazla korumak için bir dizi küçük ve büyük değişiklik yapıldığını belirtti. Bu değişikliklere, LastPass'ın kriptografik altyapısını koruyan Donanım Güvenlik Modüllerinin (HSM'ler) getirilmesi de dahildi.

2. LastPass 2021 Takip Olayı

LastPass 2021'de saldırıya uğramamış olsa da Android uygulamasının üçüncü taraf izleyiciler içerdiği tespit edildiğinde sorunlarla karşılaştı. Şubat 2021'de Exodus Privacy adlı bir güvenlik analizi uygulaması, LastPass Android uygulamasında yedi izleyici bulduğunu ortaya çıkararak kullanıcılar arasında şüphe uyandırdı. Güvenlik araştırmacısı Mike Kuketz, keşif hakkında bir yorumda bulundu. Kuketz BT Güvenliği blog yazısı, "[reklamları ve izleyicileri] şifre yöneticisi uygulamalarına entegre etmenin tamamen söz konusu olmadığını" belirtti.

Kuketz ayrıca LastPass Android uygulamasında bulunan ve Google Analytics, Segment ve AppsFlyer'dan gelen izleyicilerin de aralarında bulunduğu yedi izleyiciyi de listeledi. Pazarlama analitiği platformlarına bu şekilde erişim verilmesi, LastPass'ın yaklaşımının "güvenlik açısından son derece şüpheli" olduğunu yazan Kuketz tarafından kınandı.

Kuketz, takipçilerin kullanıcıları aktif olarak takip edip etmediğini anlamak için LastPass Android uygulamasının manuel olarak kontrol edilmesi gerektiğinin altını çizdi. Ancak Kuketz, yalnızca izleyicilerin varlığının güvenliğe öncelik vermesi gereken bir uygulama için kötü bir uygulama olduğunu belirtti.

Bu eleştiriye yanıt olarak; LastPass kullanıcıları bilgilendirildi analitik araçlarını kullandığını. LastPass, bunun "uygulama telemetrisi, hata ve kilitlenme raporlama verilerinin yanı sıra" hakkında bilgi edinmek için yapıldığını vurguladı. nihai olarak genel performansını, güvenilirliğini ve kullanılabilirliğini geliştirmek için üst düzey kullanım istatistiksel bilgileri uygulama]."

Ayrıca LastPass uygulamasının analitik unsurunun, kullanıcıların gelişmiş ayarlarında devre dışı bırakabilecekleri isteğe bağlı bir özellik olduğu belirtildi. Ancak ne olursa olsun, LastPass Android uygulamasında izleyicilerin varlığı, güvenlik analistleri ve kullanıcıların ağzında kötü bir tat bıraktı.

3. LastPass 2022 İhlalleri

LastPass'ın 2015'teki ilk olaydan sonra başka bir siber saldırıyla karşılaşması biraz zaman aldı. Ancak 2022'de gerçekten de başka bir saldırı geldi. Bu, LastPass için özellikle zor bir yıldı; Ağustos ayında gerçekleşen ilk saldırı, 2023'e kadar devam edecek şok dalgalarına neden oldu.

Ağustos 2022'nin başlarında LastPass, bir bilgisayar korsanının kaynak kodunu çalmak ve şirketin bulut tabanlı geliştirme platformuna erişmek için LastPass geliştiricisinin dizüstü bilgisayarını ele geçirdiği bir ihlalin farkına vardı. Bilgisayar korsanı, kendisini kullanıcı olarak başarıyla doğrulayarak mühendisin hesabındaki çok faktörlü kimlik doğrulama güvenliğini atladı. Bu çok endişe verici bir olay olmasına rağmen, bilgisayar korsanı hiçbir müşteri bilgisine ulaşamadı.

Ancak birkaç ay sonra işler daha da kötüleşti. Aralık 2022'de LastPass, Ağustos saldırısının saldırganlara altyapısının daha hassas alanlarına erişmesine olanak sağladığını ve ilk kez Kasım ayında istismar edildiğini duyurdu. Bu zaman, Bilgisayar korsanları LastPass müşteri verilerine eriştie-posta ve IP adresleri, telefon numaraları ve adlar dahil. Bunun da ötesinde, çevrimiçi hesaplar için saklanan kullanıcı adları ve şifreler de dahil olmak üzere belirli türdeki kullanıcı kasası verileri açığa çıkarıldı.

Söylemeye gerek yok, LastPass artık çok sıcak sudaydı ve işler 2023'te de durmayacaktı.

2023 Sonrası Etkiler

2023 yılı LastPass'e herhangi bir yeni saldırı getirmemiş olsa da, 2022'deki istismarlar hakkında giderek daha fazla rahatsız edici bilgi getirdi.

Ocak 2023'te LastPass'in ana şirketi GoTo, 2022 hacklerinin sonuçları hakkında bir açıklama yayınladı. GoTo'nun açıklaması Central, Hamachi, Pro, join.me ve RemotelyAnywhere dahil olmak üzere şirketin diğer hizmetlerinin birçoğunun da üçüncü taraf bir bulut depolama cihazı aracılığıyla saldırganlar tarafından hedef alındığını açıkladı. Saldırganlar bu cihazdan şifrelenmiş yedekleri çaldı. Dahası GoTo, çalınan bazı yedeklemeler için şifreleme anahtarına da erişildiğini gösteren kanıtlar bulduğunu açıkladı.

Şubat 2023'te LastPass, 2022'deki birinci ve ikinci hacklemeler arasında saldırganlar tarafından daha fazla kötü niyetli eylem gerçekleştirildiğinin ortaya çıkmasıyla yeniden manşetlerde yer aldı.

Yukarıdaki X gönderisinde belgelendiği gibi Kasım 2022 bilgisayar korsanları Kıdemli bir LastPass geliştiricisinin ev bilgisayarının güvenliği ihlal edildi bir yazılım medyası güvenlik açığı aracılığıyla. Bilgisayar korsanları, bilgisayarı hackledikten sonra bir keylogger yüklediler ve geliştiricinin klavyede ne yazdığını görmelerini sağladılar.

Bu, saldırganların geliştiricinin LastPass kurumsal kasa ana parolasına erişmesini sağlayarak saldırganların kasanın kendisine erişmesine olanak tanıdı. Burada şok edici olan şey, yalnızca dört kıdemli LastPass geliştiricisinin kurumsal kasaya erişebilmesi ve saldırganların yine de böyle bir geliştiriciyi başarılı bir şekilde hedeflemeyi başarmış olmasıdır.

Bilgisayar korsanları ayrıca 2022'de çalınan kullanıcı kimlik bilgilerini Ekim 2023'te 4,4 milyon dolarlık kripto para birimini çalmak için kullandı. Saldırganların, 2022'deki ikinci ihlalde kripto cüzdanı tohum ifadelerine ve anahtarlarına erişerek cüzdanlara sızmalarına ve kriptoyu istedikleri adrese çekmelerine olanak sağladığı düşünülüyor.

LastPass'ın bir özelliği var 2022 hack'lerinde erişilen verilerin tam listesi 2022 olaylarından dolayı açığa çıkan her şeyi görmek isterseniz.

LastPass'ın Kullanımı Hala Güvenli mi?

LastPass 2008'den beri hizmet veriyor olsa da veri ihlallerinin ve güvenlik olaylarının çoğu 2020'lerde meydana geldi. Geçmişteki birçok güvenlik sorunu göz önüne alındığında, LastPass'ı kullanma konusunda biraz gergin olmak doğaldır, peki buradaki karar nedir? LastPass'ı kullanmak güvenli midir yoksa başka bir şey mi tercih etmelisiniz?

LastPass'ı kullanmak basit bir not uygulaması veya benzer bir depolama seçeneğinden daha güvenli olsa da, günümüzde daha iyi şifre yöneticileri de mevcut olabilir. Güvenlik kayıtlarında bu kadar çok sorun varken LastPass, başka bir ihlalin ne zaman gerçekleşeceğini bilemediğinden pek çok kişi için erişilemez hale geldi. 2022'nin LastPass ve kullanıcıları için pek çok soruna neden olması nedeniyle, bazı kullanıcıların henüz saldırıya uğramamış şifre yöneticilerini tercih ederek gemiyi terk etmeleri şaşırtıcı değil.

Dashlane ve NordPass, hiçbir zaman güvenlik ihlali yaşamamış, son derece saygın şifre yöneticilerine yalnızca iki örnektir. dolayısıyla müşteri verilerinin veya çalışan portallarının açığa çıkmadığı bir şifre yöneticisi bulmak kesinlikle mümkün bilgisayar korsanları.

Şu anda LastPass kullanıyorsanız ancak başka bir yere gitmek istiyorsanız, şu adresteki kılavuzumuza göz atın: LastPass hesabınızı silme. Ayrıca bu konuda kullanışlı bir rehberimiz de var. en güvenli şifre yöneticileri Yenisini seçerken yardıma ihtiyacınız varsa.

Ancak LastPass'in güvenlik olayları onu güvensiz bir şifre yöneticisi yapmaz. Uygulama, hassas kimlik bilgilerini korumaya yönelik hâlâ birçok kullanışlı özelliğe sahiptir ve teknoloji bilgisine bakılmaksızın kullanımı kolaydır.

LastPass Şifre Yönetiminin Kralı Değildir

Uygulama genel olarak oldukça güvenli olduğundan, şifreleri saklamak için LastPass'ı kullanmanın doğası gereği yanlış bir yanı yoktur. Ancak, hassas bilgilerinizin mümkün olduğu kadar etkili bir şekilde saklandığından emin olmak istiyorsanız, mevcut süper güvenli alternatifleri dikkate almakta fayda var.