1 puan yazan GN⁺ 2025-03-09 | 1 yorum | WhatsApp'ta paylaş
  • ABD federal soruşturma kurumları, 30 Ocak 2024’te gerçekleşen yaklaşık 150 milyon dolar ($150m) tutarındaki kripto para hırsızlığının 2022’deki LastPass ihlalinde çalınan parola kasalarıyla bağlantılı olduğu sonucuna vardı
  • Kuzey Kaliforniya Federal Savcılığı, 6 Mart 2025’te çalınan fonlar içinden dondurulan yaklaşık 24 milyon dolar ($24m) değerindeki kripto paraya resmi olarak el koyma sürecini yürüttü
  • El koyma belgelerinde, FBI ve U.S. Secret Service’in çevrimiçi parola yöneticisinde saklanan çalınmış veriler ve parolaların hesap erişimi ve kripto para hırsızlığında kullanıldığı görüşüne yer verildi
  • Güvenlik araştırmacıları, mağdurların SIM swapping gibi tipik öncül saldırılar olmadan hedef alındığını ve 2022 ihlalinden önce LastPass “Secure Notes” içinde kripto para seed phrase’lerini saklamış olmalarının ortak nokta olduğunu belirledi
  • LastPass, bağlantıyı kanıtlayan kesin kanıt almadığını söyledi; ancak eski hesaplardaki zayıf master password’ler ve düşük iteration sayıları hâlâ offline cracking riski yaratıyor

150 milyon dolarlık hırsızlık ve el koyma süreci

  • Kuzey Kaliforniya Federal Savcılığı, 30 Ocak 2024’te yaşanan 150 milyon dolarlık kripto para hırsızlığının ardından geri alınarak dondurulan yaklaşık 24 milyon dolar değerindeki kripto paraya 6 Mart 2025’te el konulduğunu açıkladı
  • El koyma belgelerinde mağdur yalnızca “Victim-1” olarak geçse de, blockchain güvenlik araştırmacısı ZachXBT’ye göre mağdur kripto para platformu Ripple’ın kurucu ortaklarından Chris Larsen
  • ZachXBT, bu hırsızlık olayını ilk kez kamuoyuna duyuran kişi olarak biliniyor
  • Bu adım, soruşturma kurumlarının hâlihazırda dondurulmuş fonlara resmen el koyabilmesini sağlayan bir prosedüre karşılık geliyor

LastPass ihlaliyle bağlantı

  • El koyma belgelerinin kilit noktası, U.S. Secret Service ve FBI’ın 2023 Eylül ayında KrebsOnSecurity’nin LastPass ihlali analizine benzer sonuca ulaşmış olması
  • 2023 Eylül’ünde güvenlik araştırmacıları, 2022’de LastPass’ten çalınan parola kasalarının master password’lerinin kırılmasıyla birden fazla mağdurda altı haneli dolar tutarlarında kripto para hırsızlıklarının tekrarlandığını değerlendirmişti
  • El koyma belgelerinde, FBI’ın ilgili veri ihlalini soruşturduğu ve bu olayın soruşturmacılarının FBI ajanlarıyla görüşerek şu bulguları edindiği belirtiliyor
    • Birden fazla mağdurun çevrimiçi parola yöneticisi hesaplarında saklanan çalınmış veriler ve parolalar, yetkisiz elektronik hesap erişiminde kullanıldı
    • Bu erişim üzerinden bilgi, kripto para ve diğer veriler çalındı
  • Belgeler, aynı saldırganın Victim-1’in çevrimiçi parola yöneticisi hesabında saklanan çalıntı parolaları kullanarak kripto para cüzdanına veya hesabına yetkisiz erişim sağladığını düşünmek için makul gerekçe bulunduğunu söylüyor

Mağdurlarda tekrar eden örüntü

  • Güvenlik araştırmacıları Nick Bax ve Taylor Monahan, onlarca mağduru incelerken yüksek tutarlı kripto para hırsızlıklarından önce sık görülen öncül saldırıların görünmediği sonucuna vardı
    • E-posta hesabı ele geçirilmesi
    • Cep telefonu hesabı ele geçirilmesi
    • SIM swapping saldırısı
  • Mağdurların ortak noktası, 2022’deki LastPass ihlalinden önce kripto para seed phrase’lerini LastPass hesaplarının “Secure Notes” bölümünde saklamış olmalarıydı
  • Seed phrase, kripto para varlıklarına erişim sağlayan gizli bir koddur ve buna sahip olan kişi ilgili varlıklara erişebilir
  • Bax ve Monahan ayrıca, çalınan fonların birçok kripto para borsasına dağılmış çok sayıda drop account’a hızla taşındığı ortak bir nakde çevirme örüntüsü de tespit etti
  • Hükümet, Ripple kurucu ortağının mağdur olduğu olayda da benzer düzeyde karmaşıklık bulunduğunu belirtti
    • Hırsızlığın büyüklüğü ve fonların hızla dağıtılması, birden fazla kötü niyetli aktörün çabasını gerektirmiş olabilir
    • Bu tablo, çevrimiçi parola yöneticisi ihlali ve benzer mağdurların kripto para hırsızlıklarıyla tutarlı görülüyor

LastPass’in itirazı ve 2022 ihlalinin seyri

  • LastPass, söz konusu kripto para hırsızlığının LastPass ihlaliyle bağlantılı olduğuna dair federal soruşturma kurumlarından ya da başka bir yerden kesin kanıt almadığını açıkladı
  • Şirket, 2022 olayını açıkladığından bu yana çeşitli kolluk kuvveti temsilcileriyle yakın çalıştığını söyledi
  • LastPass, güvenlik önlemlerini ciddi biçimde güçlendirmeye yatırım yaptığını ve bunu sürdüreceğini belirtti
  • 2022 ihlaline ilişkin açıklama süreci aşamalı olarak değişti
    • 25 Ağustos 2022’de LastPass CEO’su Karim Toubba, yazılım geliştirme ortamında olağandışı faaliyet tespit ettiklerini ve saldırganın bazı kaynak kodları ile şirketin özel teknoloji bilgilerini çaldığını kullanıcılara bildirdi
    • 15 Eylül 2022’de LastPass, ağustostaki ihlale ilişkin soruşturma sonucunda saldırganın müşteri verilerine veya parola kasalarına erişmediğini söyledi
    • 30 Kasım 2022’de ise ağustos ihlalinde çalınan veriler kullanılarak daha ciddi bir güvenlik olayı yaşandığını müşterilere bildirdi ve bazı parola kasalarının şifreli kopyalarıyla başka kişisel bilgilerin ihlal edildiğini açıkladı

Offline cracking ve eski hesapların riski

  • Uzmanlara göre ihlal, saldırganların şifrelenmiş parola kasalarına offline erişim kazanmasına yol açtı ve zayıf master password’ler güçlü sistemlerle uzun süre boyunca kırılabildi
  • Bu tür sistemler saniyede milyonlarca parola tahmini deneyebiliyor
  • Araştırmacılar, birçok kripto para hırsızlığı mağdurunun görece düşük karmaşıklıkta master password kullandığını ve LastPass’in eski müşteri kitlesine ait olduğunu düşünüyor
  • Eski LastPass kullanıcılarında, master password korumasına uygulanan iteration sayısının çok daha düşük olma ihtimali daha yüksekti
    • Iteration sayısı, bir parolanın şirketin şifreleme rutininden kaç kez geçtiğini ifade eder
    • Genel olarak iteration sayısı ne kadar yüksekse, offline saldırganın master password’ü kırması o kadar uzun sürer
  • LastPass zaman içinde yeni kullanıcılardan daha uzun ve karmaşık master password’ler istemeye başladı ve iteration sayısını da birkaç kez önemli ölçüde artırdı
  • Araştırmacılar, LastPass’in çok sayıda eski müşteriyi yeni parola gereksinimlerine ve koruma seviyelerine yükseltmekte başarılı olamadığına dair güçlü işaretler bulduklarını düşünüyor

Araştırmacıların uyarısı ve kalan risk

  • Bax, 2023’teki uyarıdan sonra insanların fonlarını yeni kripto para cüzdanlarına taşımalarını umduğunu, ancak yalnızca bir kısmının bunu yaptığını ve hırsızlıkların sürdüğünü söyledi
  • Bax, Secret Service ve FBI’ın araştırmacıların analizini doğrulamasının önemli olduğunu, ancak bu tür hack’lerin azalmasının daha iyi olacağını ifade etti
  • Bax, ZachXBT ve SEAL 911’in Aralık 2024’te de başka bir hırsızlık dalgası bildirdiğini söyleyerek tehdidin hâlâ gerçek olduğunu değerlendirdi
  • Monahan, LastPass’in müşterilerine “Secure Notes” içinde saklanan sırlar dahil saklanan gizli bilgilerin risk altında olabileceğini hâlâ bildirmediğini eleştirdi
  • Monahan, LastPass’in kullanıcıların kimlik bilgilerini değiştirmesini önerebileceğini ve tehdit aktörlerinin yüz milyonlarca dolar çalmasını engelleyebileceğini düşünüyor

1 yorum

 
GN⁺ 2025-03-09
Hacker News yorumları
  • 1Password’ün tüm kasaları, cihazlar arasında aktarılan yüksek entropili gizli anahtar ile şifreleme tercihinin yeterince takdir edilmediğini düşünüyorum.
    Kullanıcı deneyimi ve destek yükü kesinlikle artmıştır, ama böyle bir ihlal yaşansa bile pratikte büyük bir zarar oluşmasını engellerdi.

    • Bitwarden’ın da tamamen açık kaynak olması ve resmi istemcilerle uyumlu bağımsız bir sunucu uygulaması olan Vaultwarden’ın bulunması daha fazla takdir edilmeli.
      Masanızın altındaki bir sunucuda çalışan sanal makinede kendiniz çalıştırabilirsiniz.
      50 yıl sonra bu şirketlerin hâlâ var olup olmayacağını bilmiyorum; ama torunlarım isterse, geride bıraktığım şifreli metinle gpg ile şifrelenmiş gzip dosyasını açıp CSV’deki parolaları görebileceklerini düşünüyorum.
    • Kurtarma durumunda ise aksine her şeyi kaybetmek söz konusu olabilir gibi geliyor.
      Yangın ya da sel yüzünden tüm bilgisayarlarınızı kaybederseniz kurtarma anahtarı da yok olur ve yalnızca parolayla veritabanını kurtaramazsınız.
      Ben biraz uzun bir parola ve yüksek PBKDF yineleme sayısı kullanan KeePassXC kullanıyorum; cihazı kaybetsem de kurtarma için belirli bir cihaza ihtiyaç duymuyorum.
    • Bu kadarı günümüzde zaten temel gereksinim.
      LastPass standardın altında kalmıştı.
  • LastPass ihlali küçümsedi ve not alanları gibi verileri de doğru düzgün şifrelemediği ortaya çıktı.
    Davalarla tamamen yerle bir edilmesi gerekirdi; ama şu ana kadar sorumluluktan sıyrılmış sayılır.
    LastPass’in tek bir işi vardı ve bunda başarısız oldu. Kullanıcıların ana parolalarının yeterince güvenli olmadığını bildiği hâlde bunu aktif biçimde duyurmaması ya da önleyici adım atmaması affedilmesi zor bir şey.
    Şu anda LastPass kullanıyorsanız bugün 1Password, Bitwarden, KeePass gibi daha güvenilir seçeneklere geçmeniz ve sizin için önemli olan tüm parolaları değiştirmeniz iyi olur.

    • Kayıt açısından belirtmek gerekirse LastPass gerçekten de büyük çaplı bir davayla karşı karşıya.
      https://www.courtlistener.com/docket/66607916/debt-cleanse-g...
      Davaya doğrudan bakmak gerekir ama bu bir toplu dava; kaybederse darbe büyük olur, kazansa bile maliyeti az olmayacaktır.
      Mahkeme birden fazla davayı bu dosyada birleştiriyor gibi görünüyor; LastPass bugüne kadar federal mahkemede 15 kez dava edildi.
      https://www.courtlistener.com/?q=lastpass%20AND%20(caseName%...
    • Birkaç yıl önce Bitwarden’a geçtim ve neredeyse hiç sürtünme yaşamadım.
      LastPass’ten dışa aktarmak, Bitwarden’a içe aktarmak ve kaçınılmaz birkaç UI tuhaflığına alışmak dışında bir şey yoktu.
    • Son birkaç yıldır 1Password kullanıyorum ve oldukça memnunum; ancak 1Password 7’den sonra ücretsiz iCloud depolaması yerine abonelik tabanlı bulut hizmetini fiilen zorunlu kılması üzücü.
  • LastPass hack’inin nasıl parola sızıntısına dönüştüğü konusunda biraz kafam karışık.
    Benim anladığım 1Password yöntemine göre bunun hâlâ çok zor ya da imkânsız olması gerekirmiş gibi geliyor; parola yöneticilerini ya da LastPass’in çalışma şeklini nerede yanlış anladığımı merak ediyorum.
    1Password’de çözme anahtarının kullanıcının tek parolası ile gizli anahtarı arasında bölündüğünü ve kasayı çözmek için ikisinin de gerektiğini anlıyorum.
    Gizli anahtar rastgele üretiliyor ve sanırım yaklaşık 128 bit; 1Password bunu üretip kullanıcıya gönderse de yerelde üretilse de sonrasında bir daha görmediğini biliyorum.
    Bu yüzden kasa çalınsa bile saldırganın nispeten zayıf olabilecek parolanın yanı sıra 128 bit gizli anahtarı da kırması gerekir; bu da en az 128 bit güvenlik sağlamaz mı diye düşünüyorum.
    LastPass’te ne farklıydı? Gizli anahtar da mı birlikte çalındı? Çalınan kasaların sahipleri ek saldırıya uğrayıp gizli anahtarları mı ele geçirildi? LastPass 1Password’e benzer bir yapı kullanmıyor muydu? Yoksa 1Password kullanırken düşündüğüm kadar güvende değil miyim?

    • LastPass, 1Password’ün gizli anahtar kavramını kullanmıyor; yalnızca paroladan türetilmiş anahtarı kullanıyor.
      İhlalden sonra hash yineleme sayısını aceleyle artırdı [1] ve şirket yöneticilerinin asgari yineleme sayısı belirleyebilmesini sağlayan bir özellik de ekledi [2], ancak o noktada artık çok geçti.
      [1] https://palant.info/2022/12/28/lastpass-breach-the-significa...
      [2] https://support.lastpass.com/s/document-item?language=en_US&...
    • LastPass kasa metadata’sını şifrelemeden saklıyordu.
      Metadata URL gibi bilgileri içerdiğinden, saldırganların daha değerli kasaları öncelik vererek kırmasına olanak tanıdı.
      Kasada yalnızca facebook.com ve google.com girişleri varsa geçip gitmek; coinbase ve başka 10 kripto para sitesi varsa birkaç bin dolar harcayıp kırmayı denemek gibi.
      Kaynak: https://github.com/cfbao/lastpass-vault-parser/wiki/LastPass...
    • Temelde LastPass’in kullanıcının parolasını bildiğini, 1Password’ün ise bilmediğini anlamıştım.
      Yani LastPass tüm anahtarı elinde tutuyordu.
      Ancak kurumsal ortamlarda kullanıcı unuttuğunda parola sıfırlanabildiği için 1Password de kullanıcının parolasını “biliyor” olabilir.
      Eski sürümlerin ya da kişisel sürümlerin daha güvenli olma ihtimali var.
  • 2013 civarında yaşanan ikinci büyük güvenlik ihlalinden sonra LastPass’ten ayrıldım
    Wikipedia’da toplam yalnızca 3 olay görünüyor ama 2010’dan bugüne haberlerde en az 5 tane gördüğümü hatırlıyorum
    Bu süre boyunca şirketlerde LastPass’le karşılaşmaya devam ettim ve her seferinde açıkçası şaşırdım. Beş kez kandırılırsan buna ne denir…

    • Bunun nasıl yasal olduğunu bilmiyorum
      Artık fiilen bir iş pratiği hâline gelmiş değil mi diye düşünüyorum
      Gıda zehirlenmesi olunca devlet restoranı kapatıyor; bu durumda neden hiçbir şey yapmadığını anlamıyorum
      Üstelik bu paranın tamamının eksen ülkelere aktığını varsayarsak çok daha ciddi
  • LastPass’in ikisi arasında bağlantı olduğuna dair kanıt olmadığını düşünmesini anlayabiliyorum
    Ama milyonlarca dolarlık “koleksiyon” tutan insanların en azından her yıl parolalarını değiştirmemiş olmasına inanmak da zor
    Amaçsız periyodik parola değiştirmenin artık en iyi uygulama olmadığını biliyorum ama bu durumda hâlâ oldukça ihtiyatlı bir önlem gibi görünmüyor mu?

    • Türetilmiş cüzdanların seed phrase’i değiştirilemez
      Yeni bir cüzdan oluşturup varlıkları taşımak gerekir
  • Yerel KeePassXC’me bakıp sakin sakin aynen kullanmaya devam ediyorum

    • Bu tür bir kontrol giderek lüks hâline geliyor
      Basit hâle nasıl dönebileceğimizi bilmiyorum. Örneğin paylaşılan servisleri ve hesapları olan 3 kişilik bir aile düşünün; her şeyi KeePass’te tutmak için dosya senkronizasyonunu tüm cihazlar ve işletim sistemleri arasında kendiniz halletmeniz gerekir
      Bu süreçte kimlik bilgileri üçüncü taraf bir senkronizasyon hizmetinden geçebilir ve o zaman KeePass’in avantajlarının çoğu ortadan kalkar
      Kendi barındırdığınız bir Bitwarden örneğine geçmek doğru yol olabilir ama o zaman aileden birinin, o örneği güvenli tutarken her zaman her yerden erişilebilir kılacak ömür boyu görevli sistem yöneticisi olması gerekir
    • Çevrimdışı anahtar dosyamı ancak soğuk, ölü sabit diskimden söküp alabilirler
      Bazı şeyler internete konmamalı
    • Telefon gibi cihazlar arasında senkronizasyonu nasıl yaptığınızı merak ediyorum
      Aile paylaşımı ya da acil erişim gibi özellikleri nasıl hallediyorsunuz?
  • Parolaları buluta koymamızı söylediler, hiçbir şey olmayacağını söylediler

    • Bulutun, bir API’nin arkasındaki başkasının veri merkezinden ibaret olduğu lafını duymuştum
      Peki insanlar dinledi mi? Hayır
  • Bunca zaman geçmişken herkesin kimlik bilgilerini merkezîleştirmek hâlâ en riskli fikir gibi görünüyor
    Hackerlar için bundan daha cazip bir şey varsa o da bedava seks ve uyuşturucu olabilir; ama o da kısa sürer, sonunda yine herkesin kimlik bilgilerini çalmaya geri dönerler
    Başka hedef de çok. Herkesin kişisel kimlik bilgileri, arkadaş/aile/evcil hayvan bilgileri, güvenlik sorusu yanıtları, mobil kimlikler, PIN numaraları, hesap numaraları, imzalar, fotoğraflar, parmak izleri, ses kalıpları, yüz/retina taramaları, yürüyüş biçimi, DNA, hatta mitokondriyal RNA var

    • Benzer şikâyetlerim var ama genel olarak her hesap için rastgele parola kullanmanın daha önemli olduğunu düşünüyorum
      Kendi barındırdığınız Vaultwarden en iyisi. Ya da işi berbat etmemek lazım
  • Güvenliği önemseyen insanların parolaları nasıl yönettiğini merak ediyorum
    Ya her yerde aynı parolayı kullanıyorsunuz ya da bir şekilde parola yöneticisine ihtiyaç var gibi; ama tüm parolaları tek yerde toplarsam biri değil hepsi ele geçirilir diye hep endişeleniyorum
    Birçok çözümde kolaylıktan ödün vermek gerekiyor gibi görünüyor
    Evde çalışma odasında parolaların yazılı olduğu fiziksel bir klasör tutabilirsiniz ama her seferinde bulup girmek zahmetli olur ve eve fiziksel erişimi olan kişiler açısından büyük risk yaratır

    • Kullanılabilirlik açısından Bitwarden kullanabilirsiniz
      Mümkünse ve kendi barındırmayı tercih ediyorsanız Vaultwarden da iyi
      İnternete bağlı olduğunuz sürece bir noktada birilerine güvenmek zorundasınız; güçlü iki aşamalı kimlik doğrulama (SMS/e-posta hariç) ve kasa yedekleriyle birlikte kullanırsanız riski azaltabilirsiniz
      Kasaya koyduktan sonra bir noktada tüm parolaları sıfırlamak gerekir
      Bitwarden eklentisi ya da uygulamasıyla uzun, rastgele üretilmiş parolalar kullanmak yeterince kolay
      Her serviste de güçlü iki aşamalı kimlik doğrulamayı açmak iyi olur
      https://bitwarden.com/help/setup-two-step-login/
      https://bitwarden.com/resources/guide-how-to-create-and-stor...
    • Mümkünse Windows Hello’nun TPM tabanlı çözümü gibi gerçek donanıma bağlı passkey kullanıyorum; bunun olmadığı yerlerde KeePass kullanıyorum
      KeePass veritabanını bulutla senkronize ediyorum ama parola ile birlikte açmak için kullanılan passkey dosyası ilgili makinenin dışına çıkmıyor
      Ayrıca anahtar dosyasını okumak için yönetici yetkisi gerekiyor; bu yüzden KeePass’i yükseltilmiş yetkiyle çalıştırıyorum ve bu sayede süreç bellek alanı da kullanıcı alanından gözetlemeye karşı korunuyor
    • Basit bir algoritma kullanıyorum
      Asıl parolayı hatırlamıyorum; site ya da servise özel parolayı üreten algoritmayı hatırlıyorum
      Kusursuz değil ama parolaların çoğu benzersiz çıkıyor
      Uzmanlar buna nasıl bakar bilmiyorum ama benim için iyi çalıştı
    • Bir parola yöneticisini kendi barındırmak önemsiz bir iş değil ama gayet mümkün
  • LastPass ilk ortaya çıktığında herkesin onun zayıf ve güvenilmez olduğunu düşündüğünü hatırlıyorum
    Pepperidge Farm hatırlıyor

    • Parola güvenliği üzerine çok çalışma yapmış profesör ve güvenlik araştırmacısı Lujo Bauer bana LastPass’i önermişti
      Gerçi bu 2013 civarıydı, henüz erken dönem startup olduğu zamanlar
      Parola hash’lerinin düşük yineleme sayısından daha kötüsü, LastPass’i kullanırken birçok metaverinin şifrelenmediğini bilmememdi; bu da çok endişe verici
      O zaman da şimdi de 96 bitlik şifreli metin kullandığım için çevrimdışı saldırılar açısından ihlalden güvende olurdum herhâlde, ama metaveri açığa çıkmış olurdu; bu da içime sinmiyor
      2017’de 1Password’e geçtiğim için umarım ihlalden önce verilerimi silmişlerdir, ama kim bilir
    • Kaynağı merak ediyorum
      Bu endişeler “parola yöneticisi tekil arıza noktasıdır!” gibi muğlak bir şey değil de net biçimde ortaya konmuş muydu?