LastPass Güvenlik İhlali: Kendinizi Nasıl Korursunuz?
Yayınlanan: 2023-01-05LastPass İhlaliyle İlgili Bilmeniz ve Yapmanız Gerekenler
WordPress topluluğundaki çoğumuz gibi bir LastPass kullanıcısıysanız, bugün alternatif bir parola yönetimi çözümü arıyor olabilirsiniz. LastPass'taki büyük bir güvenlik ihlalinden sonra, şirket zamanında açıklama yapmadı - bu da potansiyel olarak verilerinizi riske attı - Bitwarden veya 1Password'e geçmeyi düşünmelisiniz. Daha da iyisi, mümkün olduğunda geçiş anahtarlarını kullanmaya başlayın — parolasız oturum açmayı en üst düzey güvenlik çözümü haline getirirler. Son olarak, başkalarının verilerinin güvenliğinden siz sorumluysanız veya bir iletişim rolünüz varsa, LastPass'ın hatalarından, özellikle de ne yapmamanız gerektiğini öğrenebilirsiniz. Ne olduğuna, ne olması gerektiğine ve çevrimiçi hesaplarınızı proaktif olarak nasıl güvenceye almanız gerektiğine bir göz atalım.
Daha Derin Bir Çukur Kazmak Sizi Çıkarmaz
Ağustos 2022'de, LastPass CEO'su Karim Toubba, derin ve devam eden bir güvenlik ihlali hakkında giderek daha ciddi hale gelecek olan bir dizi kamuya açıklamanın ilkini yayınladı. İlk açıklamada, "yetkisiz bir tarafın" LastPass mühendislerinin geliştirme ortamına "güvenliği ihlal edilmiş tek bir geliştirici hesabını" kullanarak kısmen eriştiği belirtildi. Davetsiz misafir bazı kaynak kodlarını ve "tescilli LastPass teknik bilgilerini" çaldı. Ancak Toubba, LastPass şifre yönetimi platformunun kendisi veya müşterileri üzerinde herhangi bir etkisinin olmadığını söyledi. LastPass müşterilerine ana parolalarının, verilerinin ve kişisel bilgilerinin güvende olduğunu kesin olarak garanti etti. Kritik hesap bilgilerimiz, davetsiz misafirler tarafından dokunulmadan tamamen güvendeydi.
Ne yazık ki, bu hiç doğru değildi.
LastPass'ta Gerçekte Ne Oldu?
Kasım ayının sonlarından itibaren Toubba, LastPass'ın TechCrunch'tan Zack Whittaker'ın LastPass'ın neyi açıklamadığını göstermek için faydalı bir şekilde ayrıştırdığına dair ifşasında birkaç güncelleme daha yaptı. LastPass sonunda, saldırganın önceki ihlalde "elde edilen bilgiler" tarafından etkinleştirilen ikinci bir ihlalde bazı müşteri verilerini çaldığını açıkça ortaya koydu. Saldırgan, LastPass'ın ana şirketi GoTo'nun bulut depolaması da dahil olmak üzere, LastPass'ın sistemlerine daha derinden girmek için önce bir LastPass geliştiricisini, ardından bir diğerini hedef almıştı. (GoTo ayrıca LogMeIn ve GoToMyPC'ye de sahiptir.)
Rahatsız edici bir hareketle GoTo, kendi ifşasını arama motorlarından gizledi.
Ardından, Noel'den hemen önce Toubba, LastPass ihlal açıklamasını tekrar güncelledi. Saldırganların, şifrelenmiş LastPass müşteri parola kasalarının yedek anlık görüntüsünü çaldıklarını doğruladı. Toubba ayrıca, anlık görüntüye sahip olan herkesin şifreli müşteri şifre kasalarını kırmak için kaba kuvvet yöntemleri kullanabileceğini kabul etti. İhlale, LastPass müşterilerinin adları, şirket adları ve e-posta adresleri, telefon numaraları ve IP adresleri, URL'ler, notlar, form verileri ve bazı fatura bilgileri dahil edildi.
Bu kötünün de ötesinde.
LastPass'tan Gelen Kötü Kriz İletişiminin Etkisi
LastPass, çalınan verilerde kaç kullanıcı hesabı olduğu gibi önemli gerçekleri açıklamadı. Sonuç olarak, 25+ Milyon LastPass kullanıcısının (Kasım 2022 itibarıyla) bu güvenlik ihlalleri nedeniyle risk altında olduğunu varsaymalıyız. Ek olarak, çalınan yedekleme dosyaları eski kişisel ve parola kasası verilerini içeriyorsa, eski müşteriler bile artık risk altında olabilir.
LastPass'ı yıllardır benimle iş amacıyla paylaştıkları diğer insanların şifrelerine erişmek için kullandım. Hizmeti kullanmak için ödeme yapmamış olsam da, bu nedenle LastPass'ta bir hesap tutmak zorunda kaldım. LastPass'tan güvenlik ihlali bildirimlerini diğer müşteriler gibi e-posta ile aldım ve hemen endişelendim. Konunun, WordPress profesyonelleri için popüler bir topluluk forumu olan Post Status Slack'te tartışmaya açıldığını fark ettim. Patchstack'in Geliştirici Avukatı Robert Rowley, haberi orada paylaştı. "Hiçbir ana şifre veya kayıtlı şifre sızdırılmadı. Eyleme gerek yok.” Milyonlarca diğer Patchstack kullanıcısı gibi hepimiz şirketin bize söylediklerine güvendik ve yanıldık.
Daha sonra, Patchstack'teki ve WordPress topluluğundaki diğer kişiler, GoTo'nun kendi ihlal açıklamalarını gizlediği haberlerini paylaştı. Aralık ayında Rowley, hepimizin inandığı ilk ifadeden işlerin ne kadar uzaklaştığını gözlemleyerek tekrar yorum yaptı. "Hiçbir müşteri kasasına erişilmedi." Bir dizi çelişkili ifşayı yumruklanmaya benzeten Rowley, "Bu, sol-sağ bir güven kaybı kombinasyonu olarak görülebilir, her güncelleme olayı daha da kötüleştiriyor."
LastPass'ta Ne Olması Gerekiyordu?
Açık kaynak topluluğunda, bir hataya karşı şeffaflığa değer veriyoruz. Özellikle güvenlik söz konusu olduğunda, sorumlu ifşa etme kültürünü korumaya ve korumaya çalışıyoruz. Açık kaynaklı yazılım ürünlerinde güvenlik açıkları keşfedersek, sahiplerini ve bakımcılarını sessizce bilgilendiririz. Kullanıcılarını derhal uyarmalarını ve herhangi bir kötüye kullanılabilir koda yama ekler eklemez tam bir açıklama yapmalarını bekliyoruz. Öncelikli olarak bunun çok hızlı olmasını bekliyoruz. Bu şekilde, açık kaynak topluluğu üyeleri, özel mülk yazılımlarda sıklıkla meydana gelen, herkesi etkileyen sorunları örtbas etmek yerine çözmede birbirlerine yardım etmeye çalışır.
Benzer bir etik, kötü niyetli kişiler yüksek değerli ve kişisel tanımlama bilgilerini (PII) çaldığında da geçerlidir. Güvenlik ihlali bildirim yasaları farklı eyaletlerde ve ülkelerde farklılık gösterse de, bunların tümü, etkilenen kişilere zamanında açıklama yapılmasını gerektirir. Bu basit bir nezaket değil, yasal ve etik bir yükümlülük.
Güvenlikte Güven Her Şeydir
Tüm güvenlik ihlalleri güvene zarar verebilir. Hepsi, ancak gecikmeyle derinleştiğinde daha da kötüye gidebilecek kötü durumlardır. Yanlış ve eksik bilgilerin ifşa edilmesi, LastPass'ta gördüğümüz gibi bir şirket ve marka için felaket olabilir.
Müşterilerini fena halde yüzüstü bırakan bu kadar sorumsuz, bencil ve kaçınılmaz olarak kendine zarar veren davranışlar sergileyen bir şirkete neden güvenilsin ki? Müşterilere verilen zararı azaltmaya odaklanan dürüstlük, doğrudan ve net iletişim, işleri daha iyi hale getirmenin tek olası yoludur.
Nihayetinde güven bir teknoloji veya teknik bir kavram değildir. İnsan ilişkileriyle ilgili. Güven, insanlara, özellikle de size güvenenlere nasıl davrandığınıza bağlıdır. Verdiğimiz sözleri her zaman tutamayız ve başarısızlık her zaman mümkündür. En kötüsü olduğunda güven tazelemenin tek yolu, olanları kabul etmek ve her şeyi dürüstçe ortaya koymaktır.
LastPass Kullanıcıları Güvenlik İhlaline Nasıl Cevap Vermeli?
LastPass'ın bu ihlali ifşa etme şekli göz önüne alındığında, parola kasanızı korumak için LastPass'ta ek güvenlik önlemleri yardımcı olmayacaktır. İlk olarak başlamanın, 1Password, Bitwarden veya NordPass gibi yeni bir şifre yöneticisine geçmenin ve ikinci ve en önemlisi, kimlik bilgilerini LastPass kasanızda sakladığınız kritik siteler ve uygulamalardaki şifreleri değiştirmeye başlamanın zamanı geldi. Henüz yapmadıysanız, bu sitelere iki faktörlü kimlik doğrulama eklemek çok akıllıca bir hareket olacaktır.
Kasanız güçlü bir ana parola ile korunmadıysa, eninde sonunda tüm çevrimiçi hesaplarınızın güvenliği ihlal edilecektir. Güçlü bir ana parolanız olsa bile, yine de kaba kuvvetle kırılabilir.
Bu, verilerinizin şifresinin çözülüp çözülmeyeceği değil, ne zaman çözüleceği meselesidir. Bu ihlalin, LastPass'ın müşteri kasalarının etkilendiğini açıklamasından beş ay önce meydana geldiği göz önüne alındığında, kötü niyetli saldırganların şimdiden bir avantajı var. Bu nedenle, LastPass'ta sakladığınız herhangi bir hesap için kimlik bilgilerini korumaya başlamak çok önemlidir.
Bu yüzden yapılacak bir sonraki ve en önemli şey, LastPass'ta sakladığınız tüm hesapların tüm şifrelerini değiştirmeye başlamaktır. Finansal hesaplar, site yöneticisi hesapları ve kaybı size pahalıya mal olabilecek diğer hesaplar gibi en hayati olanlara öncelik verin.
LastPass'tan Ayrılma Zamanı
Son olarak, LastPass hesabınızı kapatmanızı ve Bitwarden veya 1Password gibi başka bir hizmete geçmenizi öneririz. Bitwarden, LastPass hesap kayıtlarınızı içe aktarmak için bir taşıma aracına sahiptir. 1Password da öyle.
LastPass'ten ayrılma zamanı. 1Password'e harcayacak paranız varsa, mevcut diğer birçok şifre yöneticisine göre daha sağlam bir alternatiftir. Güvenlik kurulumları ayrıca kasaların güvenliğini sağlamak için gizli bir anahtara dayanır. 1Password, birçok güvenlik uzmanının tercihi olmuştur ve çok sayıda hesaba erişim gerektiren ekipler için kasa erişimini paylaşmak için harika sistemlere sahiptir.
Diğer bir alternatif ise Bitwarden. Açık kaynaklı bir araç olan Bitwarden'in kaynak kodu, güvenlik araştırmacıları tarafından sıklıkla denetlendiği Github'da incelenebilir. Ücretli hesap yılda yalnızca 10 ABD dolarıdır, bu da bütçesi kısıtlı kişiler için projeyi desteklemeyi kolaylaştırır. Dilerseniz Bitwarden kasanızı kendi başınıza da barındırabilirsiniz.
Kendi Güvenlik Uygulamalarınızı Yeniden Düşünme Fırsatı
Müşteri olmasanız bile LastPass ihlali, kendi güvenlik ilkelerinizi düşünmek için iyi bir fırsattır. LastPass gibi parola yöneticilerinin önemli bir özelliği, çevrimiçi hesaplara erişimi diğer kişilerle paylaşma yeteneğidir. Birçok çevrimiçi hizmetin ve iş yeri gereksinimlerinin sınırlamaları, hesap erişimini kolaylık sağlamak için paylaşmamıza neden oluyor. Ancak, hesapları paylaşmak kural olarak çok kötü bir güvenlik uygulamasıdır. Twitter gibi tek kullanıcılı sosyal medya hesaplarına birden fazla kişinin girmesine izin vermeyin! Bunun yerine çok kullanıcılı bir sosyal medya yöneticisi uygulaması kullanın. Ardından, birincil hesabınızı kaybetme riski olmadan istediğiniz sayıda kişinin tweet göndermesine izin verebilirsiniz. Ve bu kişiler görevden ayrıldığında veya rol değiştirdiğinde, erişim ayrıcalıklarını yönetmek çok daha kolay olacaktır.
LastPass gibi bir uygulamada paylaşılan şifrelere erişim izni verdiğiniz herkes bu şifreleri sonsuza kadar saklayabilir. Bunları yazabilirler. Kolaylık sağlamak için bunları tarayıcılarının şifre yöneticisine kaydedebilirler. İnsanlar her takıma ve organizasyona gelir ve gider. Doğru güvenlik uygulaması, kullanılmayan hesapları silmenizi ve parolaları gecikmeden değiştirmenizi gerektirir. Bunu uyguluyor musun? Ne kadar iyi yapıyorsun? Mümkün olduğunca kolay ve anlaşılır hale getirdiniz mi? Bu önemli sorumluluğu belirli bir kişiye mi devrettiniz? Ekip erişim ayrıcalıklarınızı kim kontrol ediyor ve denetliyor? Ne sıklıkla yapıyorlar?
Kendi en kötü durum senaryolarınızı düşünün. Müşteri verilerinizi ifşa eden bir ihlalle ilgili iletişimi nasıl ele alırsınız? Bunun asla olmaması için proaktif bir önleme stratejisine nasıl geri dönebilirsiniz?
Hiçbir işletme bu önemli sorumlulukları göz ardı edemeyecek kadar küçük değildir. Yarın feci bir ihlal riskini azaltmak için bugün ne yapabilirsiniz?
Kazanmak için Geçiş Anahtarları! Dijital Güvenliğin Geleceği
Bu olay parolalarla ilgili sorunların altını çiziyor. Parola yöneticileri daha karmaşık parolaları desteklemeye çalışıyor ve iki faktörlü kimlik doğrulama başka bir güvenlik katmanı sağlamaya çalışıyor. Ancak Verizon'un veri güvenliği raporuna göre, kullanıcıların %30'dan azı gerçekten 2FA kullanıyor. Şifreler gerçekten kırıldı. Geçiş anahtarları, ileriye dönük çözümdür.
Parola, bir kullanıcının kimliğini doğrulamak için anahtarlık veya akıllı kart gibi fiziksel bir aygıtın kullanılmasını içeren bir tür kimlik doğrulama yöntemidir. Bir web sitesinde kimliğinizi doğrulamak için giderek yaygınlaşan biyometrik oturum açma yöntemlerine sahip bir bilgisayar veya telefon da kullanılabilir. Geçiş anahtarları, ek bir güvenlik katmanı sağladıkları için parolalar gibi diğer kimlik doğrulama yöntemlerinden daha güvenli kabul edilir.
Bilgisayarınız, banka hesabınız (veya iThemes Security Pro kullanıyorsanız WordPress sitesi) için parolaya sahip bilinen, güvenilir bir cihazsa, geleneksel site oturumlarını atlayabilirsiniz. Web sitesinin cihazınızı tanıması ve muhtemelen Apple cihazlarında Touch ID veya Microsoft için Windows Hello aracılığıyla parmak izi istemesi yeterlidir.
Gerçek Huzur Şifresizdir
Geçiş anahtarlarının bir avantajı, bir parola gibi kolayca tahmin edilememeleri veya kırılamamalarıdır. Parolalar, bir bilgisayar korsanının bir hesaba erişim elde etmeye çalışmak için ortak parolalardan oluşan bir listeyi test ettiği sözlük saldırılarına karşı savunmasız olabilir. Geçiş anahtarları ise tipik olarak benzersizdir ve kolayca kopyalanamaz, bu da uzlaşmayı çok daha zorlaştırır.
Ayrıca geçiş anahtarları, daha da yüksek bir güvenlik düzeyi sağlamak için cihaz parolası veya biyometrik kimlik doğrulama gibi diğer kimlik doğrulama yöntemleriyle birlikte kullanılabilir. Bu, çok faktörlü kimlik doğrulama olarak bilinir ve bir bilgisayar korsanının bir hesaba erişme zorluğunu büyük ölçüde artırabilir.
Parolalar yakında LastPass gibi parola yöneticilerini gereksiz hale getirebilir. LastPass gibi büyük platform güvenlik ihlalleri geçmişte kalabileceğinden, bu web'i daha güvenli hale getirecek. Bir WordPress veya WooCommerce sitesi çalıştırıyorsanız, iThemes Pro'nun geçiş anahtarı özelliği ile kendinize ve kullanıcılarınıza yüksek güvenlik ve parolasız oturum açmanın eşsiz kolaylığını sağlayabilirsiniz.
2023'te Parola Yöneticilerinin Durumu
Canlı Etkileşimli Çevrimiçi Eğitim Kursu
10 Ocak 2023 @ 13:00 (Merkez)
Bu web seminerinde, son LastPass ihlalini ve dijital yaşamlarımızı (WordPress sitelerimiz dahil) korurken bu konuda neler öğrenebileceğimizi tartışacağız ve ayrıca parolaların, parola yöneticilerinin, iki faktörlü kimlik doğrulamanın ve 2023 yılına güvenli bir şekilde geçebilmemiz için daha fazlası.
Geçiş anahtarlı parolaları geride bırakmanın çözümünden ve WebAuthn'un hem teknoloji devleri hem de iThemes Security tarafından uygulanma durumundan da bahsedeceğiz.
Dan Knauss, StellarWP'nin Teknik İçerik Genel Sorumlusudur. 1990'ların sonlarından beri açık kaynakta ve 2004'ten beri WordPress ile çalışan bir yazar, öğretmen ve serbest çalışan.