Kullanıcı şifrelerinin olduğu kasa çalındı
Sizlere daha önce verdiğimiz haberlerde LastPass’in Ağustos ayında hacklendiğini ve ardından Kasım ayının sonunda da önceki saldırıdan elde edilen bilgilerle tekrar bir saldırının gerçekleştiği ve kullanıcı verilerinin “belirli unsurlarına” erişildiğinden bahsetmiştik. LaspPass o dönemlerde kullanıcıların hangi verilerinin çalındığını açıkça söylememişti… Şimdiye kadar.
Yine de şirket, güçlü bir ana parolanız varsa güvende olabileceğinizi iddia ediyor. Bununla birlikte, zayıf bir ana parolaya sahipseniz şirket, “ekstra bir güvenlik önlemi olarak, sakladığınız web sitelerinin parolalarını değiştirerek riski en aza indirmeyi düşünmelisiniz” diyor.
Toubba, saldırılar sonucunda kullanıcıların isimleri, e-posta adresleri, telefon numaraları ve bazı fatura bilgileri dahil olmak üzere çok sayıda müşteri verisinin de ele geçirildiğini söyledi.
LastPass şifre kasaları güvenli mi?
LastPass’e göre şifrelenmiş veriler 256 bit AES şifreleme ile güvence altına alınmış ve yalnızca her kullanıcının ana parolasından türetilen benzersiz bir şifreleme anahtarı ile bunların şifresi çözülebilir. LastPass ayrıcı bu ana parolanın kendi sunucularında saklanmadığını ve firmanın bu şifreyi göremediğini de belirtiyor.
LastPass’e göre çalınan şifre kasaları her ne kadar kullanıcıların tüm şifre bilgilerini içeriyor olsa da kırılmasının çok zor olduğunu ve geleneksel yöntemlerle ana parolanın tahmin edilmesinin milyonlarca yıl süreceğini ifade ediyor.
Tüm bu bilgilerin ışığında LastPass’in bu yüksek önem derecesine sahip bilgiyi neden Kasım ayında veya Ağustos ayındaki saldırı sonucunda paylaşmadığı bir muamma. Dünya çapında 33 milyondan fazla kişi ve 100.000 işletme tarafından kullanılan LastPass’e gelen tepkiler de yoğunlaşmış durumda. Öte yanda eğer LastPass kullanıcısı iseniz ve zayıf şifreler kullanıyorsanız bunları güncellemenizi ve eğer mümkünse üyeliğiniz bulunduğu her yerde iki adımlı doğrulamayı kullanmanızı öneririz.