bencede
New member
Geçen yıl siber suçlular üçüncü taraf bulut sistemlerine erişim sağladı ve şifre kasaları da dahil olmak üzere LastPass müşteri verilerine erişti. Görünüşe göre saldırganlar artık belirli hesaplara erişim sağlamak için bu tür şifre kasalarını kırıyor.
Duyuru
Brian Krebs’in bildirdiği gibi, popüler bir Ethereum kripto para cüzdanı olan MetaMask’ın ürün müdürü Taylor Monahan, diğer BT araştırmacılarıyla birlikte, suçluların 35 milyon dolardan fazla kripto para çaldığı yaklaşık 150 olayı araştırdı. LastPass şifre kasalarının hacklenmesinin bunu mümkün kıldığına dair güçlü kanıtlar buldular.
LastPass Şifre Kasası: Şifreler şifrelenir ancak URL’ler şifrelenmez
Geçen yıl Noel’den hemen önce LastPass, URL’lerin şifrelenmediğini ancak kullanıcı adlarının ve şifrelerin 256 bit AES ile korunduğunu söylemişti. Ancak çevrimdışı olarak kullanılabilen şifre kasaları, kontrolsüz kaba kuvvet saldırılarına izin verir. Ancak LastPass, OWASP’ın tavsiyelerine uymadığından ve Parola Tabanlı Türetme İşlevi 2’nin (PBKDF2) ideal tekrarlarının yalnızca üçte birini kullandığından, üretici ana parolanın kırılmasını biraz daha kolaylaştırıyor. Ancak kullanıcılar LastPass’ın çok kısa ve tahmin edilmesi kolay şifrelerin kullanılmasına karşı tavsiyesine uymamış da olabilir. Şirket ayrıca, birleşik oturum açma hizmetlerini kullanmayan kullanıcıların LastPass’te saklanan şifrelerini değiştirmelerini de öneriyor.
Monahan’a göre hizmet verdiği etkilenen kişilerin tümü, BT güvenliği farkındalığına sahip uzun vadeli kripto para yatırımcılarıydı. Hiç kimse bu kripto para birimi hırsızlıklarının genellikle başladığı e-posta hesaplarının veya akıllı telefonların ele geçirilmesi gibi saldırıları fark etmedi. Kurbanlar, ünlü kripto kuruluşlarının, risk sermayesi şirketlerinin çalışanları ve DeFi (merkezi olmayan finans) protokollerini birlikte geliştiren, sözleşmeler sağlayan ve hatta düğümleri işleten kişilerdir.
Evrensel anahtar olarak tohum ifadesi
Ancak tüm kurbanların ortak noktası, daha önce, kripto varlıklarına erişmek için özel anahtar olan “tohum cümlelerini” saklamak için LastPass’i kullanmış olmalarıdır. Tohum cümlesi, herkesin anahtarla ilişkili kripto para birimlerine erişmesine ve bunları herhangi bir hedefe taşımasına olanak tanır. Bu nedenle güvenlik bilincine sahip kripto para yatırımcıları, güvenli depolama ve hatta şifrelenmiş donanım cihazları için şifre yöneticilerini kullanıyor.
Unciphered’in analitik başkanı Nick Bax, Krebs’e başlangıç cümlelerinin kelimenin tam anlamıyla para olduğunu açıkladı. Birisi bunları bir kripto cüzdanına kopyalarsa bağlı tüm hesaplara erişebilir. Analiziyle Mohan’la aynı sonuçlara varıyor.
Siber araştırmacılar, kurbanların fonlarının bazı kripto para borsaları aracılığıyla nasıl çalındığı ve aklandığı konusunda çarpıcı benzerliklere dair bulgular yayınladı. Ayrıca saldırganların, kripto para birimlerini aynı kripto cüzdanına göndererek mağdurları sıklıkla gruplandırdığını da buldular.
LastPass, geçen yılki olaylarla ilgili devam eden soruşturmayı gerekçe göstererek bu olaylar hakkında Krebs’e yorum yapmadı. Mevcut tehdit göz önüne alındığında, LastPass kullanıcılarına tüm yönetilen hesaplar için onunla korunan şifreleri yenilemeleri şiddetle tavsiye edilir.
(Bilmiyorum)
Haberin Sonu
Duyuru
Brian Krebs’in bildirdiği gibi, popüler bir Ethereum kripto para cüzdanı olan MetaMask’ın ürün müdürü Taylor Monahan, diğer BT araştırmacılarıyla birlikte, suçluların 35 milyon dolardan fazla kripto para çaldığı yaklaşık 150 olayı araştırdı. LastPass şifre kasalarının hacklenmesinin bunu mümkün kıldığına dair güçlü kanıtlar buldular.
LastPass Şifre Kasası: Şifreler şifrelenir ancak URL’ler şifrelenmez
Geçen yıl Noel’den hemen önce LastPass, URL’lerin şifrelenmediğini ancak kullanıcı adlarının ve şifrelerin 256 bit AES ile korunduğunu söylemişti. Ancak çevrimdışı olarak kullanılabilen şifre kasaları, kontrolsüz kaba kuvvet saldırılarına izin verir. Ancak LastPass, OWASP’ın tavsiyelerine uymadığından ve Parola Tabanlı Türetme İşlevi 2’nin (PBKDF2) ideal tekrarlarının yalnızca üçte birini kullandığından, üretici ana parolanın kırılmasını biraz daha kolaylaştırıyor. Ancak kullanıcılar LastPass’ın çok kısa ve tahmin edilmesi kolay şifrelerin kullanılmasına karşı tavsiyesine uymamış da olabilir. Şirket ayrıca, birleşik oturum açma hizmetlerini kullanmayan kullanıcıların LastPass’te saklanan şifrelerini değiştirmelerini de öneriyor.
Monahan’a göre hizmet verdiği etkilenen kişilerin tümü, BT güvenliği farkındalığına sahip uzun vadeli kripto para yatırımcılarıydı. Hiç kimse bu kripto para birimi hırsızlıklarının genellikle başladığı e-posta hesaplarının veya akıllı telefonların ele geçirilmesi gibi saldırıları fark etmedi. Kurbanlar, ünlü kripto kuruluşlarının, risk sermayesi şirketlerinin çalışanları ve DeFi (merkezi olmayan finans) protokollerini birlikte geliştiren, sözleşmeler sağlayan ve hatta düğümleri işleten kişilerdir.
Evrensel anahtar olarak tohum ifadesi
Ancak tüm kurbanların ortak noktası, daha önce, kripto varlıklarına erişmek için özel anahtar olan “tohum cümlelerini” saklamak için LastPass’i kullanmış olmalarıdır. Tohum cümlesi, herkesin anahtarla ilişkili kripto para birimlerine erişmesine ve bunları herhangi bir hedefe taşımasına olanak tanır. Bu nedenle güvenlik bilincine sahip kripto para yatırımcıları, güvenli depolama ve hatta şifrelenmiş donanım cihazları için şifre yöneticilerini kullanıyor.
Unciphered’in analitik başkanı Nick Bax, Krebs’e başlangıç cümlelerinin kelimenin tam anlamıyla para olduğunu açıkladı. Birisi bunları bir kripto cüzdanına kopyalarsa bağlı tüm hesaplara erişebilir. Analiziyle Mohan’la aynı sonuçlara varıyor.
Siber araştırmacılar, kurbanların fonlarının bazı kripto para borsaları aracılığıyla nasıl çalındığı ve aklandığı konusunda çarpıcı benzerliklere dair bulgular yayınladı. Ayrıca saldırganların, kripto para birimlerini aynı kripto cüzdanına göndererek mağdurları sıklıkla gruplandırdığını da buldular.
LastPass, geçen yılki olaylarla ilgili devam eden soruşturmayı gerekçe göstererek bu olaylar hakkında Krebs’e yorum yapmadı. Mevcut tehdit göz önüne alındığında, LastPass kullanıcılarına tüm yönetilen hesaplar için onunla korunan şifreleri yenilemeleri şiddetle tavsiye edilir.
(Bilmiyorum)
Haberin Sonu