Parola saklama platformları, üyelik gerektiren web sitesi ve uygulamalarda kullanıcı girişi yapmayı kolaylaştırıyor. Popüler parola saklama platformlarından biri olan LastPass, geçtiğimiz günlerde hacklendi.
LastPass platformunda çalışan bir geliştiricinin hesabına erişen hackerlar, yazılımın kaynak kodlarını ve bazı teknik bilgileri çaldı. Sürecin şeffaflık ile yürütüleceğinin altını çizen şirket, blog yazısında soru işaretlerini giderdi.
LastPass hacklendi: Parolalarımız güvende mi?
LastPass, kullanıcıların ana parolalarının ele geçirilemediğini duyurdu. Yapılan açıklamada, “Ana Parolanızı asla saklamayız veya bu parola hakkında bilgi sahibi olmayız. LastPass’in müşterilerimizin Ana Parolasını asla bilememesini veya bunlara erişmemesini sağlayan endüstri standardı Zero Knowledge (Sıfır Bilgi) mimarisini kullanıyoruz.” ifadelerine yer verildi.
Araştırma sürecine devam edildiğini belirten şirket, kullanıcıların parola saklama alanlarına erişim sağlanmadığını vurguladı. Şirket, yalnızca müşterilerin parola saklama şifresini çözme erişimine sahip olduğunu açıkladı.
Android için tehlikeli uygulamalar neler? Güvenlik araştırmacılarının son raporu Play Store'daki bu uygulamalara dikkat çekti.
Şirketin iddiasına göre herhangi bir kişisel veri ihlali de meydana gelmedi. Müşterilerin platformu güvenli bir şekilde kullanmaya devam edebileceğini belirten LastPass, adli tıp analizi sonuçlandığında tekrar bilgilendirme yapacak.
Peki LastPass nasıl hacklendi? Şirketin CEO’su Karim Toubba tarafından yapılan açıklama ise şu şekilde:
Tüm LastPass Müşterilerine,
LastPass iş ve tüketici topluluğumuzla paylaşmanın bizim için önemli olduğunu düşündüğümüz bir gelişme hakkında sizi bilgilendirmek istiyorum.
İki hafta önce, LastPass geliştirme ortamının bazı bölümlerinde olağandışı bir etkinlik tespit ettik. Hemen bir soruşturma başlattıktan sonra, bu olayın müşteri verilerine veya şifreli parola bölümlerine herhangi bir erişim içerdiğine dair hiçbir kanıt görmedik.
Yetkisiz bir tarafın, güvenliği ihlal edilmiş tek bir geliştirici hesabı aracılığıyla LastPass geliştirme ortamının bölümlerine erişim elde ettiğini ve kaynak kodunun bölümlerini ve bazı özel LastPass teknik bilgilerini aldığını belirledik. Ürünlerimiz ve hizmetlerimiz normal şekilde çalışıyor.
Olaya yanıt olarak, sınırlama ve azaltma önlemleri uyguladık. Önde gelen bir siber güvenlik ve adli tıp firmasıyla anlaştık. Soruşturmamız devam ederken, bir sınırlama durumuna ulaştık, ek gelişmiş güvenlik önlemleri uyguladık ve yetkisiz faaliyete dair başka bir kanıt göremedik.
Öğrendiklerimize ve uyguladıklarımıza dayanarak, çevremizi güçlendirmek için daha fazla azaltma tekniklerini değerlendiriyoruz. Aşağıda, sizden en acil sorular ve endişeleriniz olacağını tahmin ettiğimiz kısa bir SSS ekledik. Hak ettiğiniz şeffaflık ile sizi güncellemeye devam edeceğiz.
Sabrınız, anlayışınız ve desteğiniz için teşekkür ederiz.
Bu konu hakkında ne düşünüyorsunuz? Fikirlerinizi yorumlar kısmında ve SDN Forum‘da paylaşabilirsiniz.
