- ICO, LastPass’e 1,2 milyon £ (1,6 milyon $) para cezası verdi
- 1,6 milyondan fazla kullanıcının verileri bir veri ihlali nedeniyle açığa çıktı
- Açığa çıkan veriler arasında isimler, e-postalar, telefon numaraları ve URL’ler yer alıyor
Birleşik Krallık Bilgi Komiserleri Ofisi para cezasına çarptırıldı şifre yöneticisi sağlayıcı LastPass 1,2 milyon £ (1,6 milyon $) 2022 veri ihlali 1,6 milyon kullanıcıyı etkiledi.
göre ICOLastPass “yeterince sağlam teknik ve güvenlik önlemlerini uygulama konusunda başarısız oldu” ve bu da iki ayrı veri ihlali olayıyla sonuçlandı.
Veri ihlalinden bu yana araştırmacılar bir bağlantı kurdular. altı rakamlı kripto para birimi soygunları dizisi LastPass ihlali dedi.
İşletmeler not alıyor
İhlal, bir saldırganın LastPass geliştirme ortamına erişimi olan bir şirket dizüstü bilgisayarını ele geçirdikten sonra şifrelenmiş şirket kimlik bilgilerini ele geçirmesiyle başladı.
Saldırgan daha sonra kıdemli bir çalışanın dizüstü bilgisayarını bir keylogger ile ele geçirerek ve güvenilir bir cihaz kimlik doğrulama çerezini çalarak LastPass yedekleme veritabanına erişim sağladı.
Bilgisayar korsanı, çalışanın hem kişisel hem de ticari hesaplarına erişimi olan bir hesabı çaldı. Amazon Web Hizmeti (AWS) erişim anahtarı ve şifre çözme anahtarı.
Saldırgan, kişisel bilgilerle dolu yedek veritabanının içeriğini çıkarmak için önceden elde edilen anahtarları kullandı.
LastPass, sıfır bilgili şifreleme formatını kullanarak çalıştığından, saklanan hiçbir şifrenin şifresinin çözüldüğü doğrulanmadı. Ancak saldırgan müşteri adlarını, e-postalarını, telefon numaralarını ve saklanan web sitesi URL’lerini sızdırdı.
Birleşik Krallık Bilgi Komiseri John Edwards şunları söyledi: “Şifre yöneticileri, işletmelerin ve halkın sayısız oturum açma ayrıntılarını yönetmesi için güvenli ve etkili bir araçtır ve bunların kullanımını teşvik etmeye devam ediyoruz. Ancak, bu olaydan da anlaşılacağı üzere, bu hizmetleri sunan işletmeler, saldırı risklerinin önemli ölçüde azaltılmasını sağlamak için sistem erişiminin ve kullanımının kısıtlanmasını sağlamalıdır.
“LastPass müşterilerinin, şirkete emanet ettikleri kişisel bilgilerin güvende ve emniyette tutulacağını bekleme hakkı vardı, ancak şirket bu beklentiyi karşılayamadı ve bugün orantılı cezanın açıklanmasıyla sonuçlandı.
“Britanya’daki tüm işletmeleri bu soruşturmanın sonucunu dikkate almaya ve müşterilerini ve kendilerini benzer risklere maruz bırakmadıklarından emin olmak için mümkün olan en iyi şekilde kendi sistemlerini ve prosedürlerini acilen gözden geçirmeye çağırıyorum.”
TechRadar Pro Yorum almak için LastPass’a ulaştı ancak hemen yanıt alamadı.
Her bütçeye uygun en iyi şifre yöneticisi