Forbes: Yeni LastPass Hack'i Onaylandı—Şimdiye Kadar Bildiklerimiz
30 Kasım Çarşamba günü, LastPass CEO'su Karim Toubba, yetkisiz bir tarafın üçüncü taraf bir bulut depolama hizmetinde "müşterilerimizin bilgilerinin belirli unsurlarına" erişim sağladığını doğruladı. Toubba, veri ihlalinin şu adresten elde edilen bilgiler kullanılarak mümkün olduğunu belirtti: Ağustos ayında önceki bir bilgisayar korsanlığı olayı bu yıl. O sırada Toubba, kaynak kodun bazı bölümlerine ve bazı özel LastPass teknik bilgilerine erişildiğini söyledi. Ancak, en son ihlalde hangi bilgilerin tehdit aktörünün bulut depolama hizmetine erişmesini sağladığı açık değil.
Kıdemli bir araştırmacı olan Yoav Iellin, "Küresel olarak koruduğu çok sayıda parola göz önüne alındığında, LastPass büyük bir hedef olmaya devam ediyor" dedi. Silverfort, diyor. "Şirket, tehdit aktörünün önceki uzlaşmada elde ettiği bilgileri kullanarak erişim sağladığını kabul etti. Bu bilgilerin tam olarak ne olduğu belirsizliğini koruyor, ancak genellikle, bir ihlalden sonra kuruluşun yeni erişim anahtarları oluşturması ve güvenliği ihlal edilmiş diğer kimlik bilgilerini değiştirmesi en iyi uygulamadır. Bu, bulut depolama ve yedek erişim anahtarları gibi şeylerin yeniden kullanılamamasını sağlıyor.”
