Şifre yöneticileri, birçok servisin üyelik istemesiyle beraber hayatımızın vazgeçilmezleri arasına girmiş durumda. Bazı kullanıcılar Bitwarden gibi açık kaynak kodlu şifre yöneticilerini tercih ederken, diğer kullanıcılar ise LastPass gibi açık kaynak kodlu olmayan şifre yöneticilerini tercih ediyor.
2022 yılı itibariyle 33 milyondan fazla kullanıcıya ulaşan LastPass, geçtiğimiz ay ortaya çıkan hacklenme olayıyla gündeme gelmişti. Olayda uygulamanın bazı geliştirme dosyalarının ve teknik bilgilerin çalındığı, ancak kullanıcı bilgilerinin çalınmadığı bilgisi paylaşılmıştı. LastPass cephesi, sonunda konu hakkında detaylı bir güvenlik raporu paylaştı.
İçindekiler
Kullanıcı Verileri Güvende
Mandiant adlı “Siber Tehdit Savunma Çözümleri” firmasıyla ortak olarak detaylı bir rapor hazırlayan LastPass’in kullanıcıların yüreğine su serpecek açıklamalar yaptığını söyleyelim.
Rapora göre, şirkete yapılan saldırı bir geliştiricinin bilgisayarı üzerinden gerçekleştirilmiş ve geliştiricinin bilgisayarı üzerinden kişinin kendisiymiş gibi iki adımlı doğrulama sistemini aşarak uygulamanın kaynak kodlarına ve bazı teknik dosyalarına erişilmiş.
Güvenlik konusunda hizmet sunan bir firma için bunun talihsiz bir gelişme olduğu söylenebilir. Ancak yapılan detaylı incelemeler, saldırı olayında hiçbir kullanıcının verisinin sızdırılmadığını gösteriyor.
Bir şifre yöneticisinin olmazsa olmazlarından biri olan Ana Şifre (Master Password), bir kullanıcının bütün şifrelerine erişmek için kullanılabilirdi. Öyle ki, Ana Şifre’ler şifrelenmiş olan kullanıcı bilgilerini deşifre etmek ve “Kasa” adı verilen şifre yöneticisi kısmına giriş yapmak için kullanılıyor. Ancak LastPass bu sefer ucuz yırtmış gibi görünüyor. Öyle ki, hiçbir Ana Şifre sızdırılmamış.
LastPass, kullanıcılarının Ana Şifre’lerinin güçlü şekilde koruma altında olduğunu ve kendilerinin bile bu bilgiye erişimediklerinin altını çiziyor.
Sistemdeki Açık Günler Boyunca Farkedilmemişti!
LastPass her ne kadar hiçbir özel bilginin sızdırılmadığını garanti etse de, bu denli büyük bir şirketin sisteme izinsiz erişim olduğunu dört gün boyunca tespit edememiş olmasının büyük bir hayal kırıklığı olduğunu söyleyebiliriz.
Bu olaydan sonra birçok kullanıcı diğer alternatiflere yönelmiş gibi görünüyor. Bazı uzmanlar, güvenlik konusuna özem gösteren kullanıcıların herhangi bir veri sızıntısı ihtimaline karşın bütün şifrelerini tek bir yere koymamalarını öneriyor.
Peki siz bu konuda ne düşünüyorsunuz? Herhangi bir şifre yönetici kullanıyor musunuz? Düşüncelerinizi yorumlar kısmında belirtebilirsiniz. Daha fazlası için bizi takip etmeyi unutmayın!
İlginizi Çekebilir: LastPass Hacklendi: Kaynak Kodunun Bir Bölümü Çalındı!