lastpass hack

LastPass ‘Kimlik Bilgisi Doldurma’ Saldırısıyla Bağlantılı Uyarıları Otomatikleştirdi

Popüler LastPass şifre yöneticisinin kullanıcıları, üçüncü taraf ihlallerinden elde edilen e-posta adreslerini ve şifreleri kullanan sözde "kimlik bilgisi doldurma" saldırılarında hedefleniyor.

Bu, LastPass'ın, bazı kullanıcıların, normalde farklı cihazlardan ve konumlardan giriş yapan kullanıcılara gönderilen, erişim engellenmiş e-posta uyarıları aldığına dair genel raporlara yanıt olarak verdiği resmi yayındır.

E-posta bildirimleri, dünya çapında 30 milyondan fazla kullanıcı ve 85.000 iş müşterisi talep eden LogMeIn'in sahip olduğu başlangıçta bir veri uzlaşması korkusunu artırdı. Ancak, Mühendislik Başkan Yardımcısı Gabor Angyal'e aktarılan bir notta LastPass, sorunun ciddiyetini küçümsedi ve uyarıların bilinen kimlik bilgisi doldurma saldırılarıyla bağlantılı olduğunu söyledi.

İşte LastPass açıklaması:

Kısa bir süre önce, normalde farklı cihazlardan ve konumlardan oturum açan kullanıcılara gönderilen, erişim engellenmiş e-postalar alan kullanıcı sayısında artış raporlarını araştırdık.

İlk bulgularımız, bu uyarıların, kötü niyetli veya kötü bir aktörün üçüncü kişilerden alınan e-posta adreslerini ve şifreleri kullanarak kullanıcı hesaplarına (bu durumda, LastPass) erişmeye çalıştığı "kimlik bilgisi doldurma" etkinliğine yanıt olarak tetiklendiğine inanmamıza neden oldu. Diğer bağlı olmayan hizmetlerle ilgili taraf ihlalleri.

Bu etkinliği araştırmak için hızlı bir şekilde çalıştık ve şu anda, bu kimlik bilgilerini doldurma girişimlerinin bir sonucu olarak herhangi bir LastPass hesabının yetkisiz bir üçüncü tarafça ele geçirildiğine dair hiçbir belirti ve kullanıcının LastPass kimlik bilgilerinin toplandığına dair herhangi bir belirti bulamadık. kötü amaçlı yazılım, sahte tarayıcı uzantıları veya kimlik avı kampanyaları.

Angyal, bazı güvenlik uyarılarının LastPass tarafından yanlışlıkla gönderildiğini kabul etti, ancak sorunun boyutu veya kullanıcıların sorunu işaretleyen gergin sosyal medya paylaşımları göndermesine neden olan hatalar hakkında ayrıntılı bilgi vermedi.

"Araştırmamız, o zamandan beri, LastPass kullanıcılarının sınırlı bir alt kümesine gönderilen bu güvenlik uyarılarından bazılarının büyük olasılıkla yanlışlıkla tetiklendiğini tespit etti. Sonuç olarak, güvenlik uyarı sistemlerimizi ayarladık ve bu sorun o zamandan beri çözüldü” dedi.

LastPass Başkan Yardımcısı, müşterileri güçlü bir Ana Parola kullanmaya ve bu parolayı başka herhangi bir web sitesi veya uygulama için asla tekrar kullanmamaya çağırdı. Devam eden kimlik bilgisi doldurma saldırılarına yanıt olarak Angyal, kullanıcıların LastPass Ana Parolalarını hemen değiştirmelerini ve tüm hesaplarda çok faktörlü kimlik doğrulamayı etkinleştirmelerini tavsiye ediyor.


Kaynak: https://www.securityweek.com/lastpass-automated-warnings-linked-%E2%80%98credential-stuffing%E2%80%99-attack


Bu içerik ilginizi çektiyse LinkedIn ve Twitter hesaplarımı takip edebilir, daha fazla içeriğe erişebilirsiniz.


E-posta listesine katılın

Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.

Haber bültenine kaydolduğunuz için teşekkürler!

Something went wrong.

Yorum Bırakın

LastPass 'Kimlik Bilgisi Doldurma' Saldırısıyla Bağlantılı Uyarıları Otomatikleştirdi