Federal yetkililer, 225 milyar wonluk kripto para hırsızlığının 2022 LastPass hack’iyle bağlantısını doğruladı
(krebsonsecurity.com)- ABD federal soruşturma kurumları, 30 Ocak 2024’te gerçekleşen yaklaşık 150 milyon dolar ($150m) tutarındaki kripto para hırsızlığının 2022’deki LastPass ihlalinde çalınan parola kasalarıyla bağlantılı olduğu sonucuna vardı
- Kuzey Kaliforniya Federal Savcılığı, 6 Mart 2025’te çalınan fonlar içinden dondurulan yaklaşık 24 milyon dolar ($24m) değerindeki kripto paraya resmi olarak el koyma sürecini yürüttü
- El koyma belgelerinde, FBI ve U.S. Secret Service’in çevrimiçi parola yöneticisinde saklanan çalınmış veriler ve parolaların hesap erişimi ve kripto para hırsızlığında kullanıldığı görüşüne yer verildi
- Güvenlik araştırmacıları, mağdurların SIM swapping gibi tipik öncül saldırılar olmadan hedef alındığını ve 2022 ihlalinden önce LastPass “Secure Notes” içinde kripto para seed phrase’lerini saklamış olmalarının ortak nokta olduğunu belirledi
- LastPass, bağlantıyı kanıtlayan kesin kanıt almadığını söyledi; ancak eski hesaplardaki zayıf master password’ler ve düşük iteration sayıları hâlâ offline cracking riski yaratıyor
150 milyon dolarlık hırsızlık ve el koyma süreci
- Kuzey Kaliforniya Federal Savcılığı, 30 Ocak 2024’te yaşanan 150 milyon dolarlık kripto para hırsızlığının ardından geri alınarak dondurulan yaklaşık 24 milyon dolar değerindeki kripto paraya 6 Mart 2025’te el konulduğunu açıkladı
- El koyma belgelerinde mağdur yalnızca “Victim-1” olarak geçse de, blockchain güvenlik araştırmacısı ZachXBT’ye göre mağdur kripto para platformu Ripple’ın kurucu ortaklarından Chris Larsen
- ZachXBT, bu hırsızlık olayını ilk kez kamuoyuna duyuran kişi olarak biliniyor
- Bu adım, soruşturma kurumlarının hâlihazırda dondurulmuş fonlara resmen el koyabilmesini sağlayan bir prosedüre karşılık geliyor
LastPass ihlaliyle bağlantı
- El koyma belgelerinin kilit noktası, U.S. Secret Service ve FBI’ın 2023 Eylül ayında KrebsOnSecurity’nin LastPass ihlali analizine benzer sonuca ulaşmış olması
- 2023 Eylül’ünde güvenlik araştırmacıları, 2022’de LastPass’ten çalınan parola kasalarının master password’lerinin kırılmasıyla birden fazla mağdurda altı haneli dolar tutarlarında kripto para hırsızlıklarının tekrarlandığını değerlendirmişti
- El koyma belgelerinde, FBI’ın ilgili veri ihlalini soruşturduğu ve bu olayın soruşturmacılarının FBI ajanlarıyla görüşerek şu bulguları edindiği belirtiliyor
- Birden fazla mağdurun çevrimiçi parola yöneticisi hesaplarında saklanan çalınmış veriler ve parolalar, yetkisiz elektronik hesap erişiminde kullanıldı
- Bu erişim üzerinden bilgi, kripto para ve diğer veriler çalındı
- Belgeler, aynı saldırganın Victim-1’in çevrimiçi parola yöneticisi hesabında saklanan çalıntı parolaları kullanarak kripto para cüzdanına veya hesabına yetkisiz erişim sağladığını düşünmek için makul gerekçe bulunduğunu söylüyor
Mağdurlarda tekrar eden örüntü
- Güvenlik araştırmacıları Nick Bax ve Taylor Monahan, onlarca mağduru incelerken yüksek tutarlı kripto para hırsızlıklarından önce sık görülen öncül saldırıların görünmediği sonucuna vardı
- E-posta hesabı ele geçirilmesi
- Cep telefonu hesabı ele geçirilmesi
- SIM swapping saldırısı
- Mağdurların ortak noktası, 2022’deki LastPass ihlalinden önce kripto para seed phrase’lerini LastPass hesaplarının “Secure Notes” bölümünde saklamış olmalarıydı
- Seed phrase, kripto para varlıklarına erişim sağlayan gizli bir koddur ve buna sahip olan kişi ilgili varlıklara erişebilir
- Bax ve Monahan ayrıca, çalınan fonların birçok kripto para borsasına dağılmış çok sayıda drop account’a hızla taşındığı ortak bir nakde çevirme örüntüsü de tespit etti
- Hükümet, Ripple kurucu ortağının mağdur olduğu olayda da benzer düzeyde karmaşıklık bulunduğunu belirtti
- Hırsızlığın büyüklüğü ve fonların hızla dağıtılması, birden fazla kötü niyetli aktörün çabasını gerektirmiş olabilir
- Bu tablo, çevrimiçi parola yöneticisi ihlali ve benzer mağdurların kripto para hırsızlıklarıyla tutarlı görülüyor
LastPass’in itirazı ve 2022 ihlalinin seyri
- LastPass, söz konusu kripto para hırsızlığının LastPass ihlaliyle bağlantılı olduğuna dair federal soruşturma kurumlarından ya da başka bir yerden kesin kanıt almadığını açıkladı
- Şirket, 2022 olayını açıkladığından bu yana çeşitli kolluk kuvveti temsilcileriyle yakın çalıştığını söyledi
- LastPass, güvenlik önlemlerini ciddi biçimde güçlendirmeye yatırım yaptığını ve bunu sürdüreceğini belirtti
- 2022 ihlaline ilişkin açıklama süreci aşamalı olarak değişti
- 25 Ağustos 2022’de LastPass CEO’su Karim Toubba, yazılım geliştirme ortamında olağandışı faaliyet tespit ettiklerini ve saldırganın bazı kaynak kodları ile şirketin özel teknoloji bilgilerini çaldığını kullanıcılara bildirdi
- 15 Eylül 2022’de LastPass, ağustostaki ihlale ilişkin soruşturma sonucunda saldırganın müşteri verilerine veya parola kasalarına erişmediğini söyledi
- 30 Kasım 2022’de ise ağustos ihlalinde çalınan veriler kullanılarak daha ciddi bir güvenlik olayı yaşandığını müşterilere bildirdi ve bazı parola kasalarının şifreli kopyalarıyla başka kişisel bilgilerin ihlal edildiğini açıkladı
Offline cracking ve eski hesapların riski
- Uzmanlara göre ihlal, saldırganların şifrelenmiş parola kasalarına offline erişim kazanmasına yol açtı ve zayıf master password’ler güçlü sistemlerle uzun süre boyunca kırılabildi
- Bu tür sistemler saniyede milyonlarca parola tahmini deneyebiliyor
- Araştırmacılar, birçok kripto para hırsızlığı mağdurunun görece düşük karmaşıklıkta master password kullandığını ve LastPass’in eski müşteri kitlesine ait olduğunu düşünüyor
- Eski LastPass kullanıcılarında, master password korumasına uygulanan iteration sayısının çok daha düşük olma ihtimali daha yüksekti
- Iteration sayısı, bir parolanın şirketin şifreleme rutininden kaç kez geçtiğini ifade eder
- Genel olarak iteration sayısı ne kadar yüksekse, offline saldırganın master password’ü kırması o kadar uzun sürer
- LastPass zaman içinde yeni kullanıcılardan daha uzun ve karmaşık master password’ler istemeye başladı ve iteration sayısını da birkaç kez önemli ölçüde artırdı
- Araştırmacılar, LastPass’in çok sayıda eski müşteriyi yeni parola gereksinimlerine ve koruma seviyelerine yükseltmekte başarılı olamadığına dair güçlü işaretler bulduklarını düşünüyor
Araştırmacıların uyarısı ve kalan risk
- Bax, 2023’teki uyarıdan sonra insanların fonlarını yeni kripto para cüzdanlarına taşımalarını umduğunu, ancak yalnızca bir kısmının bunu yaptığını ve hırsızlıkların sürdüğünü söyledi
- Bax, Secret Service ve FBI’ın araştırmacıların analizini doğrulamasının önemli olduğunu, ancak bu tür hack’lerin azalmasının daha iyi olacağını ifade etti
- Bax, ZachXBT ve SEAL 911’in Aralık 2024’te de başka bir hırsızlık dalgası bildirdiğini söyleyerek tehdidin hâlâ gerçek olduğunu değerlendirdi
- Monahan, LastPass’in müşterilerine “Secure Notes” içinde saklanan sırlar dahil saklanan gizli bilgilerin risk altında olabileceğini hâlâ bildirmediğini eleştirdi
- Monahan, LastPass’in kullanıcıların kimlik bilgilerini değiştirmesini önerebileceğini ve tehdit aktörlerinin yüz milyonlarca dolar çalmasını engelleyebileceğini düşünüyor
1 yorum
Hacker News yorumları
1Password’ün tüm kasaları, cihazlar arasında aktarılan yüksek entropili gizli anahtar ile şifreleme tercihinin yeterince takdir edilmediğini düşünüyorum.
Kullanıcı deneyimi ve destek yükü kesinlikle artmıştır, ama böyle bir ihlal yaşansa bile pratikte büyük bir zarar oluşmasını engellerdi.
Masanızın altındaki bir sunucuda çalışan sanal makinede kendiniz çalıştırabilirsiniz.
50 yıl sonra bu şirketlerin hâlâ var olup olmayacağını bilmiyorum; ama torunlarım isterse, geride bıraktığım şifreli metinle gpg ile şifrelenmiş gzip dosyasını açıp CSV’deki parolaları görebileceklerini düşünüyorum.
Yangın ya da sel yüzünden tüm bilgisayarlarınızı kaybederseniz kurtarma anahtarı da yok olur ve yalnızca parolayla veritabanını kurtaramazsınız.
Ben biraz uzun bir parola ve yüksek PBKDF yineleme sayısı kullanan KeePassXC kullanıyorum; cihazı kaybetsem de kurtarma için belirli bir cihaza ihtiyaç duymuyorum.
LastPass standardın altında kalmıştı.
LastPass ihlali küçümsedi ve not alanları gibi verileri de doğru düzgün şifrelemediği ortaya çıktı.
Davalarla tamamen yerle bir edilmesi gerekirdi; ama şu ana kadar sorumluluktan sıyrılmış sayılır.
LastPass’in tek bir işi vardı ve bunda başarısız oldu. Kullanıcıların ana parolalarının yeterince güvenli olmadığını bildiği hâlde bunu aktif biçimde duyurmaması ya da önleyici adım atmaması affedilmesi zor bir şey.
Şu anda LastPass kullanıyorsanız bugün 1Password, Bitwarden, KeePass gibi daha güvenilir seçeneklere geçmeniz ve sizin için önemli olan tüm parolaları değiştirmeniz iyi olur.
https://www.courtlistener.com/docket/66607916/debt-cleanse-g...
Davaya doğrudan bakmak gerekir ama bu bir toplu dava; kaybederse darbe büyük olur, kazansa bile maliyeti az olmayacaktır.
Mahkeme birden fazla davayı bu dosyada birleştiriyor gibi görünüyor; LastPass bugüne kadar federal mahkemede 15 kez dava edildi.
https://www.courtlistener.com/?q=lastpass%20AND%20(caseName%...
LastPass’ten dışa aktarmak, Bitwarden’a içe aktarmak ve kaçınılmaz birkaç UI tuhaflığına alışmak dışında bir şey yoktu.
LastPass hack’inin nasıl parola sızıntısına dönüştüğü konusunda biraz kafam karışık.
Benim anladığım 1Password yöntemine göre bunun hâlâ çok zor ya da imkânsız olması gerekirmiş gibi geliyor; parola yöneticilerini ya da LastPass’in çalışma şeklini nerede yanlış anladığımı merak ediyorum.
1Password’de çözme anahtarının kullanıcının tek parolası ile gizli anahtarı arasında bölündüğünü ve kasayı çözmek için ikisinin de gerektiğini anlıyorum.
Gizli anahtar rastgele üretiliyor ve sanırım yaklaşık 128 bit; 1Password bunu üretip kullanıcıya gönderse de yerelde üretilse de sonrasında bir daha görmediğini biliyorum.
Bu yüzden kasa çalınsa bile saldırganın nispeten zayıf olabilecek parolanın yanı sıra 128 bit gizli anahtarı da kırması gerekir; bu da en az 128 bit güvenlik sağlamaz mı diye düşünüyorum.
LastPass’te ne farklıydı? Gizli anahtar da mı birlikte çalındı? Çalınan kasaların sahipleri ek saldırıya uğrayıp gizli anahtarları mı ele geçirildi? LastPass 1Password’e benzer bir yapı kullanmıyor muydu? Yoksa 1Password kullanırken düşündüğüm kadar güvende değil miyim?
İhlalden sonra hash yineleme sayısını aceleyle artırdı [1] ve şirket yöneticilerinin asgari yineleme sayısı belirleyebilmesini sağlayan bir özellik de ekledi [2], ancak o noktada artık çok geçti.
[1] https://palant.info/2022/12/28/lastpass-breach-the-significa...
[2] https://support.lastpass.com/s/document-item?language=en_US&...
Metadata URL gibi bilgileri içerdiğinden, saldırganların daha değerli kasaları öncelik vererek kırmasına olanak tanıdı.
Kasada yalnızca facebook.com ve google.com girişleri varsa geçip gitmek; coinbase ve başka 10 kripto para sitesi varsa birkaç bin dolar harcayıp kırmayı denemek gibi.
Kaynak: https://github.com/cfbao/lastpass-vault-parser/wiki/LastPass...
Yani LastPass tüm anahtarı elinde tutuyordu.
Ancak kurumsal ortamlarda kullanıcı unuttuğunda parola sıfırlanabildiği için 1Password de kullanıcının parolasını “biliyor” olabilir.
Eski sürümlerin ya da kişisel sürümlerin daha güvenli olma ihtimali var.
2013 civarında yaşanan ikinci büyük güvenlik ihlalinden sonra LastPass’ten ayrıldım
Wikipedia’da toplam yalnızca 3 olay görünüyor ama 2010’dan bugüne haberlerde en az 5 tane gördüğümü hatırlıyorum
Bu süre boyunca şirketlerde LastPass’le karşılaşmaya devam ettim ve her seferinde açıkçası şaşırdım. Beş kez kandırılırsan buna ne denir…
Artık fiilen bir iş pratiği hâline gelmiş değil mi diye düşünüyorum
Gıda zehirlenmesi olunca devlet restoranı kapatıyor; bu durumda neden hiçbir şey yapmadığını anlamıyorum
Üstelik bu paranın tamamının eksen ülkelere aktığını varsayarsak çok daha ciddi
LastPass’in ikisi arasında bağlantı olduğuna dair kanıt olmadığını düşünmesini anlayabiliyorum
Ama milyonlarca dolarlık “koleksiyon” tutan insanların en azından her yıl parolalarını değiştirmemiş olmasına inanmak da zor
Amaçsız periyodik parola değiştirmenin artık en iyi uygulama olmadığını biliyorum ama bu durumda hâlâ oldukça ihtiyatlı bir önlem gibi görünmüyor mu?
Yeni bir cüzdan oluşturup varlıkları taşımak gerekir
Yerel KeePassXC’me bakıp sakin sakin aynen kullanmaya devam ediyorum
Basit hâle nasıl dönebileceğimizi bilmiyorum. Örneğin paylaşılan servisleri ve hesapları olan 3 kişilik bir aile düşünün; her şeyi KeePass’te tutmak için dosya senkronizasyonunu tüm cihazlar ve işletim sistemleri arasında kendiniz halletmeniz gerekir
Bu süreçte kimlik bilgileri üçüncü taraf bir senkronizasyon hizmetinden geçebilir ve o zaman KeePass’in avantajlarının çoğu ortadan kalkar
Kendi barındırdığınız bir Bitwarden örneğine geçmek doğru yol olabilir ama o zaman aileden birinin, o örneği güvenli tutarken her zaman her yerden erişilebilir kılacak ömür boyu görevli sistem yöneticisi olması gerekir
Bazı şeyler internete konmamalı
Aile paylaşımı ya da acil erişim gibi özellikleri nasıl hallediyorsunuz?
Parolaları buluta koymamızı söylediler, hiçbir şey olmayacağını söylediler
Peki insanlar dinledi mi? Hayır
Bunca zaman geçmişken herkesin kimlik bilgilerini merkezîleştirmek hâlâ en riskli fikir gibi görünüyor
Hackerlar için bundan daha cazip bir şey varsa o da bedava seks ve uyuşturucu olabilir; ama o da kısa sürer, sonunda yine herkesin kimlik bilgilerini çalmaya geri dönerler
Başka hedef de çok. Herkesin kişisel kimlik bilgileri, arkadaş/aile/evcil hayvan bilgileri, güvenlik sorusu yanıtları, mobil kimlikler, PIN numaraları, hesap numaraları, imzalar, fotoğraflar, parmak izleri, ses kalıpları, yüz/retina taramaları, yürüyüş biçimi, DNA, hatta mitokondriyal RNA var
Kendi barındırdığınız Vaultwarden en iyisi. Ya da işi berbat etmemek lazım
Güvenliği önemseyen insanların parolaları nasıl yönettiğini merak ediyorum
Ya her yerde aynı parolayı kullanıyorsunuz ya da bir şekilde parola yöneticisine ihtiyaç var gibi; ama tüm parolaları tek yerde toplarsam biri değil hepsi ele geçirilir diye hep endişeleniyorum
Birçok çözümde kolaylıktan ödün vermek gerekiyor gibi görünüyor
Evde çalışma odasında parolaların yazılı olduğu fiziksel bir klasör tutabilirsiniz ama her seferinde bulup girmek zahmetli olur ve eve fiziksel erişimi olan kişiler açısından büyük risk yaratır
Mümkünse ve kendi barındırmayı tercih ediyorsanız Vaultwarden da iyi
İnternete bağlı olduğunuz sürece bir noktada birilerine güvenmek zorundasınız; güçlü iki aşamalı kimlik doğrulama (SMS/e-posta hariç) ve kasa yedekleriyle birlikte kullanırsanız riski azaltabilirsiniz
Kasaya koyduktan sonra bir noktada tüm parolaları sıfırlamak gerekir
Bitwarden eklentisi ya da uygulamasıyla uzun, rastgele üretilmiş parolalar kullanmak yeterince kolay
Her serviste de güçlü iki aşamalı kimlik doğrulamayı açmak iyi olur
https://bitwarden.com/help/setup-two-step-login/
https://bitwarden.com/resources/guide-how-to-create-and-stor...
KeePass veritabanını bulutla senkronize ediyorum ama parola ile birlikte açmak için kullanılan passkey dosyası ilgili makinenin dışına çıkmıyor
Ayrıca anahtar dosyasını okumak için yönetici yetkisi gerekiyor; bu yüzden KeePass’i yükseltilmiş yetkiyle çalıştırıyorum ve bu sayede süreç bellek alanı da kullanıcı alanından gözetlemeye karşı korunuyor
Asıl parolayı hatırlamıyorum; site ya da servise özel parolayı üreten algoritmayı hatırlıyorum
Kusursuz değil ama parolaların çoğu benzersiz çıkıyor
Uzmanlar buna nasıl bakar bilmiyorum ama benim için iyi çalıştı
LastPass ilk ortaya çıktığında herkesin onun zayıf ve güvenilmez olduğunu düşündüğünü hatırlıyorum
Pepperidge Farm hatırlıyor
Gerçi bu 2013 civarıydı, henüz erken dönem startup olduğu zamanlar
Parola hash’lerinin düşük yineleme sayısından daha kötüsü, LastPass’i kullanırken birçok metaverinin şifrelenmediğini bilmememdi; bu da çok endişe verici
O zaman da şimdi de 96 bitlik şifreli metin kullandığım için çevrimdışı saldırılar açısından ihlalden güvende olurdum herhâlde, ama metaveri açığa çıkmış olurdu; bu da içime sinmiyor
2017’de 1Password’e geçtiğim için umarım ihlalden önce verilerimi silmişlerdir, ama kim bilir
Bu endişeler “parola yöneticisi tekil arıza noktasıdır!” gibi muğlak bir şey değil de net biçimde ortaya konmuş muydu?