LastPass, kullanıcılara bir veri ihlalini daha bildirdi

 (9to5mac.com)
1 puan yazan GN⁺ 5 시간 전 | 1 yorum | WhatsApp'ta paylaş
  • LastPass kullanıcılarına, harici iş ortağı Klue ihlali nedeniyle kişisel verilerin ve destek vaka verilerinin açığa çıktığı bildirildi
  • Bu olayda erişim kapsamı standart iş iletişim bilgileri, CRM verileri, destek vaka verileri ve satışla ilgili verilerle sınırlı kaldı; parola kasaları etkilenmedi
  • Açığa çıkan veriler arasında müşteri adı, telefon numarası, e-posta adresi ve fiziksel adres yer alıyor; Klue platformu Salesforce ve Gong sistemleriyle entegre çalışıyor
  • Olayın fark edilmesinin ardından LastPass, çalışanların Klue erişimini iptal etti ve açığa çıkan API token'larını yeniledi; ayrıca kolluk kuvvetlerine bildirim yaptı ve Klue ile Salesforce üzerinden soruşturma yürüttü
  • Sızdırılan iletişim bilgileri phishing ve sosyal mühendislik saldırılarında kötüye kullanılabileceğinden, müşterilerin ve şirketlerin paylaşılan saldırı göstergelerini kontrol etmesi gerekiyor

Klue ihlali ve LastPass'in yanıtı

  • Pazar araştırma şirketi Klue'da yaşanan ihlalin etkisiyle LastPass, etkilenen kullanıcılara e-posta gönderdi
  • Saldırganlar ihlal sayesinde müşteri bilgilerine ve destek vaka verilerine erişmiş olabilir
  • Erişilen bilgiler şu kapsamla sınırlıydı
    • Müşteri adı, telefon numarası, e-posta adresi, fiziksel adres
    • Müşteri ilişkileri yönetimi (CRM) verileri
    • Destek vaka verileri
    • Satışla ilgili veriler
  • Bu olayda LastPass'in parola kasaları etkilenmedi
  • Klue platformu, Salesforce ve Gong sistemleriyle entegre durumda
  • LastPass, olay müdahalesi kapsamında erişim engelleme ve soruşturma adımları attı
    • Çalışanların Klue erişim yetkilerinin iptal edilmesi
    • Açığa çıkan API token'larının yenilenmesi
    • Kolluk kuvvetlerine bildirim yapılması
    • Klue ve Salesforce ile temas kurularak olay kapsamının araştırılması

Saldırı göstergeleri ve geçmiş güvenlik olayları

  • Müşterilerin, sızdırılan bilgileri kullanan phishing saldırılarına veya sosyal mühendislik girişimlerine karşı dikkatli olması gerekiyor
  • Şirketlerin ilgili faaliyetleri kendi sistemlerinde arayabilmesi için saldırganlarla ilişkili göstergeler paylaşıldı
    • IP adresleri:
      • 138.226.246[.]94
      • 94.154.32[.]160
      • 159.183.215[.]61
      • 159.183.181[.]239
    • E-posta gönderici alan adları:
      • baccarat.com[.]au
      • robinskitchen.com[.]au
      • house.com[.]au
  • LastPass geçmişte de birden fazla güvenlik olayı yaşadı
    • 2015'te hesap e-posta adresleri, parola ipuçları, kimlik doğrulama hash'leri ve şifreleme salt'ları çalındı; ancak şifrelenmiş kasa verilerine erişilmedi
    • 2022'de saldırganlar bir geliştirici hesabını ihlal ederek kaynak kodu ve teknik bilgileri çaldı; ardından bunu kullanarak müşteri kayıtlarını ve şifrelenmiş parola kasalarını içeren bulut yedeklerine erişti
    • Aynı 2022 olayında ad, fatura adresi, e-posta adresi ve telefon numarası gibi şifrelenmemiş bilgiler de yer aldı

İlgili okumalar

1 yorum

 
GN⁺ 5 시간 전
Hacker News yorumları

  • Artık LastPass'e kimin ciddi ciddi güvenebileceğini bilmiyorum.
    Birkaç yıl önce banka verileriyle çalışan bir şirkette çalışıyordum; önceki LastPass güvenlik olayının hemen ardından bile LastPass kullanmaya devam ediyorlardı ve geçiş planları da yoktu.

    • Pek çok kişi ve kuruluş güvenlik ürünlerini güvenlik için değil, güvenlik tiyatrosu için kullanıyor.
      İnsanların büyük çoğunluğu, hatta güvenlikten sorumlu olanların bir kısmı bile bu ihlali duymayacak; bu yüzden LastPass onlar için hâlâ işini yapıyor sayılır.
    • Parolalar hâlâ bilinmiyorsa, o “ihlal” son kullanıcı açısından bir başarısızlık değildir.
      Kasanın ana parolası güvenliyse ve kasaya erişmenin tek yolu hâlâ ana parolaysa, son kullanıcının istediği işlevi yerine getiriyordur.
      “İhlal” sözcüğü, koşulları belirtilmediğinde anlamlı değildir.
    • Yüzlerce şirkete güvenlik danışmanlığı yaptım; güvenliği gerçekten ciddiye alan şirketler, geçmişte ihlal yaşamış şirketlerdi.
      Yönetim ve yönetim kurulu maliyet etkisini bizzat görmeden, sadece okuyarak güvenlik programı için gereken bütçe asla ayrılmıyor.
      Bu yüzden LastPass'i önerdiğim anlamına gelmez ama yalnızca bu nedenle tamamen elemezdim.
    • Tüm parolaları ve şifreleme anahtarlarını üçüncü bir tarafa emanet etmeye nasıl güvenildiğini anlamıyorum.
      KeePassXC kurulumu çok basit.

  • Etkilenen şirket sayısı çok daha fazla. Bazıları aşağıda da listelenmiş.

    "Klue has not said how many of its hundreds of customers are affected. Several companies have come forward to confirm they had data stolen during the attack, including Gong, Jamf, HackerOne, Insurity, OneTrust, Recorded Future, Snyk, Sprout Social, and Tanium."
    Cybercrime group Icarus took credit for the breach, saying on its leak site that it will publish the stolen data on Monday if the company does not pay the hackers’ ransom."
    https://techcrunch.com/2026/06/22/klue-hack-results-in-data-...

  • LastPass'in müşteri ayrıntılarını neden pazar araştırma şirketlerine verdiğini hiç anlamıyorum.
    Bu tür veriler adlar, açık adresler vb. çıkarılarak tamamen anonimleştirilmiş olmalıydı.
    Öneri arayanlara: KeepassXC ve Keepass2Android kullanıyorum. Açık kaynaklılar, yerel veritabanı kullanıyorlar ve senkronizasyon yapıp yapmayacağınızı siz seçebiliyorsunuz. Ben Own cloud ile senkronize ediyorum.

    • Ben birkaç yıldır pwsafe kullanıyorum.
      O da ücretsiz, açık kaynaklı ve yalnızca yerel kasa kullanıyor. Verilerinizi beceriksizce kaybedebilecek bir bulut servisine bel bağlamak zorunda değilsiniz.
      İsteğe bağlı olarak kasayı Dropbox veya iCloud Drive'da saklayabilirsiniz ama bunu neden yapmak isteyesiniz, bilmiyorum.

    • Any such data should have been fully anonymized: no names, no specific addresses, etc..
      En başta böyle verileri neden vermeleri gerekiyor ki?

  • https://blog.lastpass.com/posts/klue-supply-chain-incident-a...

    The information accessed was limited to standard business contact information and related customer relationship management (CRM) data, including customer names, phone numbers, email addresses, and physical addresses, as well as support case data and sales-related data.

  • Bu yöntem de bazı açılardan LastPass kullanmaktan daha kötü olabilir ama son birkaç yıldır parolalarımın %90'ını sadece oluşturup unutuyorum.
    Kalan %10'u parola yöneticisinde tutuyorum. Çok önemli olmayan bir hizmetse, her girişte “parolamı unuttum” diyerek yeni parola oluşturup değiştiriyorum.

    • Hesapta iki faktörlü kimlik doğrulama yoksa bu yöntem çalışıyor.
      Son yan proje uygulamamda kullanıcılar yalnızca e-posta tek kullanımlık parolasıyla giriş yapabiliyordu.
      Kullanıcının tek kullanımlık parolayı sahte bir siteye girmesini sağlayan phishing gibi güvenlik dezavantajları var; ama hassas bir şey saklamayan bir uygulama olduğu için büyük bir güvenlik riski olarak görmüyorum.
    • Artık erişemediğim eski bir telefon numarama iki faktörlü doğrulama SMS'i gönderildiği için zor durumda kaldığım olmuştu.
    • Bu yüzden birçok servis giriş yöntemi olarak e-posta magic link kullanımına kayıyor.
      Sonuçta pek çok serviste e-postayı ele geçirmek fiilen girişi ele geçirmek demek.

  • Ucuz bir ömür boyu lisans aldığım için birkaç yıldır Enpass kullanıyorum.
    Enpass, parola senkronizasyonu için kendi bulut servisini barındırmıyor; kullanıcı bir bulut depolama alanında kimlik doğrulayınca oraya senkronize ediyor. Ben Google Drive kullanıyorum.
    Bu yaklaşımın daha iyi olduğunu düşünüyorum. Kötü niyetli biri Google hesabıma girerse zaten işim biter; hatta bu muhtemelen parola yöneticime girmesinden daha kötü olabilir.
    Üstelik merkezi tek bir yerde, ele geçirilirse büyük vurgun olacak bir veri yığını oluşturmuyor. Enpass'teki tüm parolaları çalmak için Google Drive, Dropbox, iCloud vb. hepsini hackleyip ardından dosyayı elle bulmak gerekir.

    • Bu, örneğin KeePass'ten nasıl farklı?

  • Başka bir ihlal yüzünden LastPass'e topluca yüklenip müşteri verilerini üçüncü tarafa vermenin tamamen sorumsuzluk olduğunu söylemek eğlenceli; ama gerçekte ne olduğuna biraz bakınca, kafamızdaki hikâyeyle gerçekliğin epey farklı olduğunu görürüz.
    Klue, birçok satış ekibinin kullandığı müşteri ilişkileri yönetimi servislerinden biri. Klue'nun o müşteri hakkında “pazar bilgisi” gibi şeyler sunabilmesi için müşteri iletişim e-postaları, finans ekibi gibi müşteri kayıtlarını vermek gerekiyor.
    Satış ekibine gidip sistemlerine bağladıkları türlü şeylere bakarsanız muhtemelen benzerini bulursunuz.
    Bunun iyi bir fikir olup olmamasından bağımsız olarak — ben bundan ciddi şekilde hoşlanmıyorum — günümüzde satış ekipleri böyle çalışıyor. Bunu ellerinden almaya kalkarsanız tüm satış organizasyonuyla kavga edersiniz.
    Asıl şaşırtıcı olan, bu tür ihlallerin daha sık yaşanmaması.
    LastPass'in gerçek parola veritabanı etkilenmedi.
    İlgili kuruluşların hiçbiriyle bağlantım yok.

    • I am more surprised that these breaches don't happen more often.
      Aslında sık sık oluyor.

  • Bence artık LastPass'in First0wned olarak yeniden markalanma zamanı geldi.

  • Kasaları sızdırıldıktan sonra da LastPass kullanmaya devam eden ya da yeni benimseyen bir şirketse, bu olay sadece CRM verisi olduğu için hiç umursamayacaklarını düşünüyorum.
    LastPass kullanmaya devam eden şirketlere bir ölçüde sempati duyuyorum. Bir kurumu LastPass'ten 1Password'e taşımak zorunda kaldığımda bu devasa bir işti ve gerçekten can sıkıcıydı.
    Ama 2022'den sonra LastPass'i seçenlere sempati duymak zor.

    • Burada çok mesele olmayan kısım, verinin önem derecesinin düşük olması.
      Asıl nokta şu: Ne kadar önemsiz olursa olsun, LastPass daha iyisini yapmalıydı.
      Parola saklama şirketiyseniz güvenilmek için bundan daha iyi olmanız gerekir.

  • Uzun zaman önce LastPass'i bırakıp BitWarden'a geçtim ama şu anda çoğunlukla Apple'ın Passwords uygulamasını kullanıyorum