Parola yöneticisi LassPass, bu yıl içinde ikinci kez sistemlerinin tehlikeye girdiğini, şu an ise mevcut bir güvenlik sorunu araştırdığını söyledi.
LastPass CEO’su Karim Toubba bir blog yazısında, “yetkisiz bir tarafın” LastPass ve ana şirketi GoTo tarafından paylaşılan bir üçüncü taraf bulut hizmetinde depolanan bazı müşterilerin bilgilerine kısa süre önce erişim sağladığını söyledi. Toubba, yetkisiz tarafın LastPass’in sistemlerinden çalınan ve şirketin o sırada ifşa ettiği bilgileri kullandığını söyledi.
Üçüncü taraf bulut hizmetinin adı verilmedi, ancak Amazon Web Services tarafından 2020’de yayınlanan bir blog gönderisinde, LastPass’in bir milyar müşteri kaydını Amazon’un bulutuna geçirdiği belirtildi. Dolayısıyla bu hizmetin AWS olduğu düşünülüyor.
Toubba, hangi özel müşteri bilgilerinin alındığını söylemedi, ancak şirketin “olayın kapsamını anlamak ve hangi özel bilgilere erişildiğini belirlemek” için çalıştığını söyledi.
2015 yılında LastPass’i satın alan eski adıyla LogMeIn olan GoTo, benzer şekilde belirsiz bir ifadeyle olayı araştırdığını söyledi. Hem LogMeIn hem de GoTo müşterilerinin ihlalden etkilenip etkilenmediği henüz belli değil.
LastPass ağustos ayında, yetkisiz bir tarafın “tehlikeye atılmış tek bir geliştirici hesabı aracılığıyla LastPass geliştirme ortamının bazı bölümlerine erişim sağladığını ve kaynak kodunun bazı bölümlerini ve bazı özel LastPass teknik bilgilerini çaldığını” söylemişti. LastPass, sistem tasarımı ve kontrollerinin “tehdit aktörünün herhangi bir müşteri verisine veya şifreli kasalarına erişmesini engellediğini” söyledi.
CEO Toubba, çarşamba günkü blog gönderisinde “Müşterilerin şifrelerinin güvenli bir şekilde şifrelenmiş halde kaldığını.” ekledi. GoTo sözcüsü Elizabeth Bassler, LastPass’ın blog gönderisinin ötesinde yorum yapmayı reddetti.
Tutku Oza TOPÇU