Federal yetkililer, 2022 LastPass hack'i ile siber soygun arasındaki bağlantıyı doğruladı

 (krebsonsecurity.com)
1 puan yazan GN⁺ 2025-03-09 | 1 yorum | WhatsApp'ta paylaş

  • Eylül 2023'te, LastPass hack olayı

    • KrebsOnSecurity, Eylül 2023'te LastPass'in ana parolasının çalındığını ve bunun birçok mağdurda yüz binlerce dolarlık siber hırsızlığa yol açtığını bildirdi.
    • ABD'li federal soruşturmacılar, 30 Ocak 2024'te gerçekleşen 150 milyon dolarlık kripto para hırsızlığını incelerken aynı sonuca ulaştı.

  • Kripto para hırsızlığı olayı

    • 6 Mart 2024'te Kuzey Kaliforniya federal savcılığı, 150 milyon dolarlık siber hırsızlık olayının ardından yaklaşık 24 milyon dolar değerinde kripto paranın geri alındığını açıkladı.
    • Bu olayın mağdurunun Ripple kurucu ortağı Chris Larsen olduğu tahmin ediliyor.

  • Federal soruşturmacıların bulguları

    • ABD Gizli Servisi ve FBI, LastPass hack olayıyla bağlantılı hırsızlıklar konusunda aynı sonuca vardı.
    • Çalınan verilerin ve parolaların, mağdurların çevrimiçi parola yöneticisi hesaplarına yasa dışı erişim sağlamak ve kripto para ile diğer verileri çalmak için kullanıldığını doğruladı.

  • Mağdurların ortak özellikleri

    • Güvenlik araştırmacıları Nick Bax ve Taylor Monahan, mağdurların e-posta, mobil hesaplar veya SIM swapping saldırıları gibi tipik saldırılara maruz kalmadığını tespit etti.
    • Mağdurların tamamı, kripto para seed phrase'lerini LastPass hesaplarındaki "Secure Notes" bölümünde saklamıştı.

  • Karmaşık hırsızlık modeli

    • Çalınan fonlar, çeşitli kripto para borsalarındaki çok sayıda hesaba hızla aktarıldı.
    • Hükümet, bu karmaşık hırsızlık modelinin birden fazla kötü niyetli aktörün iş birliğiyle gerçekleştirildiğini değerlendirdi.

  • LastPass'in tepkisi

    • LastPass, federal soruşturmacılardan veya başka kaynaklardan, hırsızlık olaylarının LastPass hack'iyle bağlantılı olduğuna dair kesin kanıt görmediğini savundu.
    • LastPass, Ağustos 2022'de yazılım geliştirme ortamında olağandışı faaliyet tespit ettiğini ve bazı kaynak kodlar ile teknik bilgilerin çalındığını duyurdu.
    • Kasım 2022'de LastPass, şifrelenmiş parola kasalarının ve kişisel bilgilerin ihlal edildiğini müşterilerine bildirdi.

  • Güvenlik uzmanlarının görüşü

    • Birçok mağdurun düşük karmaşıklıkta ana parola kullandığı, bu nedenle de büyük olasılıkla LastPass'in eski müşterileri olduğu belirtiliyor.
    • LastPass yeni kullanıcılardan daha karmaşık parolalar talep etti, ancak bunun eski müşterilere uygulanmadığı anlaşılıyor.

  • Güvenliğin güçlendirilmesi ihtiyacı

    • Araştırmacılar, LastPass'in müşterilerine parola değiştirmelerini tavsiye etmesi gerektiğini savunuyor.
    • LastPass'in olumsuz tepkisine rağmen güvenlik araştırmacıları, daha fazla hack olayını önlemek için ek önlemlerin gerekli olduğunu vurguluyor.

İlgili okumalar

1 yorum

 
GN⁺ 2025-03-09
Hacker News görüşleri
  • 1Password, tüm kasaları gelişmiş bir gizli anahtarla şifreleme tercihi nedeniyle yeterince takdir edilmiyor. Bu, kullanıcı deneyimi ve destek yükü açısından bir maliyet yaratıyor, ancak bu sayede veri sızıntısı olsa bile büyük bir sorun olmuyor
  • LastPass veri sızıntısını küçümsedi ve notlar bölümü gibi verileri düzgün şekilde şifrelemedi. Sorumluluktan kaçtı ama dava edilmeliydi
  • LastPass, kullanıcı ana parolalarının yeterince güvenli olmadığını bilmesine rağmen buna karşı proaktif davranmadı. Bu affedilemez
  • LastPass kullananlar 1Password, Bitwarden, Keepass gibi daha güvenilir seçeneklere geçmeli ve önemli tüm parolalarını değiştirmeli
  • LastPass hack'inin parola kaybına nasıl yol açtığı kafa karıştırıcı. Bunun 1Password ile benzer şekilde çalıştığını sanıyordum; öyleyse hâlâ çok zor ya da imkânsız olması gerekirdi. Parola yöneticilerinin veya LastPass'in nasıl farklı olduğunu açıklayabilecek biri var mı?
  • 1Password'de şifre çözme anahtarı iki parçaya ayrılır: kullanıcının tek parolası + gizli anahtar. İkisi de gereklidir. Gizli anahtar rastgele üretilir ve yaklaşık 128 bittir. 1Password bunu oluşturup kullanıcıya verir ama kendisi bir daha görmez. Kasa çalınsa bile hem parolanın hem de 128 bitlik gizli anahtarın çözülmesi gerektiğinden en az 128 bit güvenlik sağlanır
  • LastPass nasıl farklı? Gizli anahtar da mı çalındı? Çalınan kasanın hedefi ek saldırılara uğrayıp gizli anahtar mı çıkarıldı? LastPass, 1Password'e benzer bir yapı kullanmıyor mu? Yoksa 1Password kullanıyor olsak bile güvende olmadığımızı mı düşünmeliyiz?
  • 2013'teki ikinci büyük güvenlik ihlalinden sonra LastPass kullanmıyorum. Wikipedia'da toplam sadece 3 olay görünüyor ama 2010'dan bugüne en az 5 rapor gördüğümü hatırlıyorum. Bu süre boyunca şirketlerde hâlâ LastPass kullanıldığını gördüm ve her seferinde şaşırdım
  • LastPass iki olayı bağlayan bir kanıt olmadığını iddia ediyor. Ama milyonlarca dolarlık "koleksiyon parçaları" saklayan insanların en azından her yıl parolalarını değiştirmediğine inanmak zor
  • Parola rotasyonu artık en iyi uygulama sayılmıyor olabilir ama bu durumda yine de temkinli bir tercih
  • Yerel KeepassXC'ye bakıp sakin kalıyorum
  • Bize parolaları bulutta saklamamız söylendi ve hiçbir sorun olmayacağı dendi
  • Herkesin kimlik bilgilerini merkezi bir yerde toplamak hâlâ en tehlikeli fikir. Hacker'lar için daha çekici tek şey belki bedava performans artırıcı ilaçlar olabilir, ama o da kısa sürer; sonra yine herkesin kimlik bilgilerini çalmaya dönerler
  • Bir başka hedef: herkesin kişisel tanımlayıcı bilgileri, arkadaşları, ailesi ve evcil hayvanları hakkında bilgiler, güvenlik sorularının yanıtları, mobil kimlik, PIN numaraları, hesap numaraları, imzalar, fotoğraflar, parmak izleri, ses kalıpları, yüz ve retina taramaları, yürüyüş biçimi, DNA, mitokondriyal RNA
  • LastPass ilk çıktığında herkesin onun zayıf ve güvenilmez olduğunu düşündüğünü hatırlıyorum. Pepperidge Farm da hatırlıyor
  • Güvenliğe duyarlı insanlar parolalar konusunda ne yapıyor? Her yerde aynı parolayı kullanmak ya da bir parola yöneticisi kullanmak zorundaymışız gibi geliyor. Ama tüm parolalar tek yerde toplanınca, birinin ele geçirilmesi yerine hepsinin birden ele geçirileceğinden hep endişe ediyorum
  • Birçok çözümde bunun kolaylıkla yapılan bir takas gibi geldiğini düşünüyorum. Ofiste parolalarla dolu fiziksel bir klasör tutabilirsiniz ama her seferinde arayıp elle girmek zahmetlidir ve fiziksel erişimi olan biri için büyük bir risk oluşturur