LastPass, müşterilerine gönderdiği e-posta yoluyla kişisel verilerinin pazar araştırması ve rekabet analizi şirketi Klue'da yaşanan bir saldırı sırasında çalındığını bildirdi. Icarus adlı fidye ve şantaj grubu tarafından 12 Haziran'da gerçekleştirilen saldırıda, saldırganlar Klue'nun sistemlerindeki OAuth tokenlarını kullanarak müşteri verilerine erişim sağladı.
Ele geçirilen bilgiler arasında müşteri isimleri, telefon numaraları, e-posta adresleri, fiziksel adresler ile müşteri destek talepleri ve satışla ilgili kayıtlar yer alıyor. LastPass, kendi altyapısının bu olaydan etkilenmediğini ve kullanıcı parola kasalarının güvende olduğunu vurguladı. Ancak destek talep kayıtlarının potansiyel olarak kimlik doğrulama bilgileri, hükümet kimlik belgeleri gibi hassas bilgiler içerebileceği belirtiliyor.
2022'den Kalan Kimlik Bilgisi Kullanıldı
Klue'nun yürütülen soruşturması ortaya koymak için, saldırganların 2022 yılından beri kullanılmayan bir kimlik bilgisini kullanarak sisteme erişim sağladığını gösterdi. Bu kimlik bilgisi, o yıl sınırlı bir pilot proje kapsamında bir üçüncü taraf şirkete verilmişti. Klue, pilot projenin sonlandırılması sonrasında bu kimlik bilgisinin neden devre dışı bırakılmadığı konusunda açıklama yapmadı.
LastPass, Klue ihlalinden etkilenen tek teknoloji şirketi değil. Siber güvenlik firmaları HackerOne, Recorded Future ve Tanium da aynı ihlal nedeniyle veri kaybı yaşadıklarını duyurmuşlardı.
Önceki İhlallerin Gölgesinde
Bu olay, LastPass'in geçmiş yıllarında yaşadığı güvenlik olaylarına ekleniyor. Şirket, 2015 yılında hesap e-posta adresleri ve parola hatırlatıcıları gibi veriler çalındı. Çok daha ciddi olaysa 2022 yılında meydana geldi: o zaman bir geliştirici hesabının ele geçirilmesi sonucu şifrelenmiş parola kasaları ile adlar, fatura adresleri ve telefon numaraları gibi şifrelenmemiş kullanıcı verileri hacker'lara ulaştı. LastPass'ın 33 milyondan fazla kullanıcı ve 1,6 milyon ücretli müşterisi bulunması nedeniyle bu sızıntıların potansiyel etkisi geniş bir alanı kapsamaktadır.
Icarus grubu, fidye taleplerinin karşılanmaması durumunda çalınan verileri yayımlamakla tehdit etmiştir. LastPass, müşterilerine kimlik avı saldırılarına karşı dikkatli olmalarını önerir ve saldırganlarla ilişkilendirilen belirli IP adresleri ile e-posta gönderen alan adlarını paylaşmıştır.