18:37:15
LastPass, çalışanının ev bilgisayarının hacklendiğini ve şirket kasasının alındığını açıkladı…

Müşteri kasalarının çalınmasına neden olan ihlalin yaralarını sarmaya başlayan LastPass'e kötü haberler gelmeye devam ediyor. Kısmen şifrelenmiş oturum açma verilerinin bir tehdit aktörünün eline geçmesine neden olan bir ihlalden zaten muzdarip olan LastPass, Pazartesi günü aynı saldırganın bir çalışanın ev bilgisayarını hacklediğini ve yalnızca bir avuç şirket geliştiricisinin kullanabildiği şifresi çözülmüş bir kasayı ele geçirdiğini söyledi.

LastPass'e yapılan ilk saldırı 12 Ağustos'ta sona ermiş olsa da, önde gelen şifre yöneticisi yetkilileri tehdit aktörünün 12 Ağustos'tan 26 Ağustos'a kadar “aktif olarak yeni bir dizi keşif, numaralandırma ve sızma faaliyetinde bulunduğunu” söyledi. Bu süreçte, kimliği bilinmeyen tehdit aktörü kıdemli bir DevOps mühendisinden geçerli kimlik bilgilerini çalmayı ve bir LastPass veri kasasının içeriğine erişmeyi başardı. Diğer şeylerin yanı sıra, kasa, Amazon S3 kovalarında depolanan müşteri kasası yedeklemeleri için şifreleme anahtarlarını içeren paylaşılan bir bulut depolama ortamına erişim sağladı.

Başka bir bomba daha düştü
LastPass yetkilileri, “Bu, DevOps mühendisinin ev bilgisayarını hedef alarak ve uzaktan kod yürütme özelliğini etkinleştiren ve tehdit aktörünün keylogger kötü amaçlı yazılımını yerleştirmesine izin veren savunmasız bir üçüncü taraf medya yazılımı paketinden yararlanarak gerçekleştirildi” diye yazdı. “Tehdit aktörü, çalışan MFA ile kimlik doğrulaması yaptıktan sonra, çalışanın ana parolasını girildiği sırada yakalayabildi ve DevOps mühendisinin LastPass kurumsal kasasına erişim sağladı.”

Hacklenen DevOps mühendisi, kurumsal kasaya erişimi olan dört LastPass çalışanından biriydi. Şifresi çözülmüş kasayı ele geçiren tehdit aktörü, “AWS S3 LastPass üretim yedeklerine, diğer bulut tabanlı depolama kaynaklarına ve bazı ilgili kritik veritabanı yedeklerine erişmek için gereken şifre çözme anahtarları” da dahil olmak üzere girişleri dışa aktardı.

Pazartesi günkü güncelleme, LastPass'ın önceki iddiaların aksine, saldırganların hem şifreli hem de düz metin verilerini içeren müşteri kasası verilerini elde ettiğini ilk kez söyleyen bomba gibi bir güncelleme yayımlamasından iki ay sonra geldi. LastPass daha sonra, tehdit aktörünün ayrıca bir bulut depolama erişim anahtarı ve çift depolama konteyneri şifre çözme anahtarları elde ettiğini ve böylece şifrelenmiş depolama konteynerinden müşteri kasası yedekleme verilerinin kopyalanmasına izin verdiğini söyledi.

Yedekleme verileri, web sitesi URL'leri gibi şifrelenmemiş verilerin yanı sıra web sitesi kullanıcı adları ve parolaları, güvenli notlar ve 256 bit AES kullanılarak ek bir şifreleme katmanına sahip form doldurulmuş verileri içeriyordu. Yeni ayrıntılar, tehdit aktörünün S3 şifreleme anahtarlarını nasıl elde ettiğini açıklıyor.

Pazartesi günkü güncellemede, ilk olayda kullanılan taktik, teknik ve prosedürlerin ikincisinde kullanılanlardan farklı olduğu ve sonuç olarak araştırmacıların başlangıçta bu ikisinin doğrudan ilişkili olduğunu anlayamadığı belirtildi. İkinci olay sırasında tehdit aktörü, S3 kovalarında depolanan verileri numaralandırmak ve dışarı çıkarmak için ilk olay sırasında elde edilen bilgileri kullandı.

LastPass yetkilileri, “Bu olaylar sırasında uyarı ve günlük kaydı etkinleştirildi, ancak soruşturma sırasında geriye dönük olarak daha net hale gelen anormal davranışı hemen göstermedi” diye yazdı. “Özellikle tehdit aktörü, paylaşılan bir bulut depolama ortamına erişmek için üst düzey bir DevOps mühendisinden çaldığı geçerli kimlik bilgilerinden yararlanabildi ve bu da başlangıçta araştırmacıların tehdit aktörü faaliyeti ile devam eden meşru faaliyet arasında ayrım yapmasını zorlaştırdı.”

LastPass ikinci olayı, tehdit aktörü yetkisiz faaliyet gerçekleştirmek için Bulut Kimlik ve Erişim Yönetimi (IAM) rollerini kullanmaya çalıştığında Amazon'un anormal davranış uyarılarından öğrendi.

LastPass'in özel raporu hakkında bilgi sahibi olan ve isminin açıklanmaması koşuluyla konuşan bir kişiye göre, çalışanın ev bilgisayarında istismar edilen medya yazılım paketi Plex'ti. İlginç bir şekilde Plex, ikinci olayın başlamasından sadece 12 gün sonra, 24 Ağustos'ta kendi ağ izinsiz girişini bildirdi. Bu ihlal, tehdit aktörünün özel bir veritabanına erişmesine ve 30 milyon müşterisinden bazılarına ait şifre verileri, kullanıcı adları ve e-postalarla kaçmasına izin verdi. Plex, kullanıcıların film ve ses akışı yapmalarına, oyun oynamalarına ve evlerinde ya da şirket içi medya sunucularında barındırılan kendi içeriklerine erişmelerine olanak tanıyan önemli bir medya akış hizmetleri sağlayıcısıdır.

Plex ihlalinin LastPass izinsiz girişleriyle herhangi bir bağlantısı olup olmadığı net değil. LastPass ve Plex temsilcileri bu haber için yorum isteyen e-postalara yanıt vermedi.

LastPass ihlalinin arkasındaki tehdit aktörü özellikle becerikli olduğunu kanıtladı ve bir çalışanın ev bilgisayarındaki bir yazılım açığından başarıyla yararlandığının ortaya çıkması bu görüşü daha da güçlendiriyor. Bu durumda yapılması gereken, tüm LastPass kullanıcıları ana şifrelerini ve kasalarında sakladıkları tüm şifreleri değiştirmektir. Tehdit aktörünün her ikisine de erişimi olup olmadığı net olmasa da, önlemlerin alınması gerekiyor.

Bu içeriği beğendiyseniz lütfen çevrenizle paylaşınız…

LastPass geliştirici sistemleri kaynak kodunu çalmak amacıyla hacklendi…

Parola yönetim firması LastPass iki hafta önce saldırıya uğradı ve tehdit aktörlerinin şirketin kaynak kodunu ve tescilli teknik bilgilerini çalınmasına neden olduğu söyleniyor.

Saldırıyla ilgili soruların gönderilmesinin ardından LastPass bugün, bilgisayar korsanlarının şirketin geliştirici ortamına erişmek için kullandıkları güvenliği ihlal edilmiş bir geliştirici hesabı aracılığıyla ihlal edildiğini doğrulayan bir güvenlik uyarısı yayımladı.

LastPass, müşteri verilerinin ya da şifreli parola kasalarının ele geçirildiğine dair bir kanıt olmadığını, ancak tehdit aktörlerinin kaynak kodlarının bazı bölümlerini ve “tescilli LastPass teknik bilgilerini” çaldığını söyledi.

LastPass'tan yapılan açıklamada, “Olaya yanıt olarak, sınırlama ve hafifletme önlemleri aldık ve önde gelen bir siber güvenlik ve adli tıp firmasını görevlendirdik” denildi.

“Soruşturmamız devam etmekle birlikte, bir kontrol altına alma durumu elde ettik, ek gelişmiş güvenlik önlemleri uyguladık ve yetkisiz faaliyete dair başka bir kanıt görülmüyor.”

LastPass saldırıya, tehdit aktörlerinin geliştirici hesabını nasıl ele geçirdiğine ve hangi kaynak kodunun çalındığına ilişkin daha fazla ayrıntı vermedi.

LastPass, 33 milyondan fazla kişi ve 100.000 işletme tarafından kullanıldığını iddia eden dünyanın en büyük parola yönetim şirketlerinden biridir.

Tüketiciler ve işletmeler şifrelerini güvenli bir şekilde saklamak için şirketin yazılımını kullandıklarından, şirketin saldırıya uğraması durumunda tehdit aktörlerinin saklanan şifrelere erişmesine izin verebileceği konusunda her zaman endişeler vardır.

Ancak LastPass, şifreleri yalnızca müşterinin ana şifresi kullanılarak çözülebilen 'şifreli kasalarda' saklıyor ve LastPass bu siber saldırıda şifrenin ele geçirilmediğini söylüyor.

Geçtiğimiz yıl LastPass, tehdit aktörlerinin bir kullanıcının ana parolasını doğrulamasına olanak tanıyan bir kimlik bilgisi doldurma saldırısına maruz kalmıştı. LastPass ana parolalarının RedLine parola çalan kötü amaçlı yazılımı dağıtan tehdidin aktörleri tarafından çalındığı da ortaya çıkmıştı.

Bu nedenle, LastPass hesaplarınızda çok faktörlü kimlik doğrulamayı etkinleştirmeniz hayati önem taşımaktadır, böylece parolanız ele geçirilse bile tehditin aktörleri hesabınıza erişemeyecektir.

Bu içeriği beğendiyseniz lütfen çevrenizle paylaşınız…