Birleşik Krallık'ın veri gizliliği düzenleyicisi olan Bilgi Komiserliği Ofisi (ICO), şifre yönetimi devi LastPass UK Ltd'yi, 2022 yılında gerçekleşen ve yalnızca Birleşik Krallık'taki 1.6 milyon kullanıcının kişisel bilgilerini ve şifreli kasalarını etkileyen büyük bir güvenlik ihlali nedeniyle 1.2 milyon pound ceza ile cezalandırdı.
ICO, şirketin yeterince güçlü teknik ve güvenlik önlemleri almadığı sonucuna vardı. ICO Başkanı John Edwards, insanların güvenliğini artırma sözü veren bir şirketin, bu konuda onları başarısız bıraktığını belirtti.
2022 İhlali: Bir Dizi Başarısızlık
Hackread.com'un 2022'de bildirdiğine göre, tüm olay, iki ana aşamada meydana gelen bir dizi insan ve teknik güvenlik başarısızlığını içeriyordu. Sorun, 2022 yılının Ağustos ayında, Avrupa'daki bir geliştiriciye ait bir kurumsal dizüstü bilgisayarın saldırgan tarafından ele geçirilmesiyle başladı ve şirketin bazı kaynak kodları ve iç bilgileri çalındı. Bu ilk saldırı, müşteri verilerini doğrudan tehlikeye atmadı.
Saldırgan, çalınan bu materyali kullanarak ikinci, daha zararlı aşamayı başlattı. ABD'deki bir kıdemli mühendisi (kritik şifre çözme anahtarlarına erişimi olan yalnızca dört çalışandan biri) hedef aldı ve cihazda yüklü olan üçüncü taraf bir uygulamadaki bilinen bir açığı istismar ederek bu çalışanın kişisel masaüstü bilgisayarına erişim sağladı.
İçeri girdikten sonra, saldırgan, çalışanın ana şifresini yakalamak için bir tuş kaydedici yükledi ve Çok Faktörlü Kimlik Doğrulamasını (MFA) atlatmak için güvenilir bir cihaz çerezi çaldı. Mühendis, iş ve kişisel hesaplarını tek bir ana şifre ile bağladığı için, hacker kurumsal kasaya erişim sağladı ve müşteri verilerine erişim için gerekli olan bir Amazon Web Services (AWS) erişim anahtarı ve bir şifre çözme anahtarı elde etti.
Çalınan veriler arasında isimler, şirket isimleri, fatura adresleri, telefon numaraları, e-posta adresleri ve LastPass hizmetine erişim için kullanılan IP adresleri ile birlikte şifreli şifre kasaları yer alıyordu.
ICO Kararı Güvenlik Başarısızlıklarını Vurguluyor
ICO'nun kararı sertti. LastPass UK Ltd'nin sistem erişimini yeterince kısıtlamadığını, insan unsuru olarak özellikle çalışanın kişisel cihaz kullanımı ve tekrar eden kimlik bilgileri nedeniyle güvenliklerinin zayıfladığını buldular. LastPass müşterilerinin kişisel bilgilerinin güvende tutulmasını bekleme hakkına sahip olduklarını belirttiler.
Ancak, durumun çok daha kötü olabileceğini belirtmek gerekir. LastPass CEO'su Karim Toubba, şirketin ‘sıfır bilgi şifreleme’ sistemi sayesinde ana müşteri şifrelerinin korunduğunu doğruladı; bu, ana şifrelerin yalnızca kullanıcı tarafından bilindiği ve asla LastPass sunucularında saklanmadığı anlamına geliyor. Bilginiz için, nihai ceza, LastPass'ın bu tür olayları önlemek için aldığı önlemler nedeniyle 2.6 milyon pounddan düşürüldü.
Ceza, tüm işletmeler için önemli bir dersi vurguluyor: İnsan saldırı yüzeyi, çalışanların kişisel cihazları ve ev ağları da dahil olmak üzere, genellikle güvenli kurumsal ağlardaki en zayıf halkadır.
Birleşik Krallık Bilgi Komiseri John Edwards'tan tam açıklama:
Şifre yöneticileri, işletmeler ve kamu için birçok giriş bilgilerini yönetmek için güvenli ve etkili bir araçtır ve kullanımını teşvik etmeye devam ediyoruz. Ancak, bu olaydan açıkça görüldüğü gibi, bu hizmetleri sunan işletmeler, sistem erişiminin ve kullanımının kısıtlandığından emin olmalıdır, böylece saldırı riskleri önemli ölçüde azaltılabilir.
LastPass müşterilerinin, şirkete emanet ettikleri kişisel bilgilerin güvende tutulmasını bekleme hakları vardı. Ancak, şirket bu beklentiyi karşılayamadı ve bugün duyurulan orantılı ceza ile sonuçlandı.
Tüm Birleşik Krallık işletmelerini bu araştırmanın sonucunu dikkate almaya ve kendi sistemlerini ve prosedürlerini acilen gözden geçirmeye çağırıyorum, böylece mümkün olan en iyi şekilde, müşterilerini ve kendilerini benzer risklere maruz bırakmadıklarından emin olabilsinler.
Uzman Yorumu
Bu habere yanıt olarak, Chris Pierson, BlackCloak CEO'su, Hackread.com ile şu yorumları paylaştı: Bu dava, bugünün en yıkıcı ihlallerinin genellikle geleneksel işletme kontrollerinin çok dışında başladığını açıkça hatırlatıyor. Saldırganlar, şifrelemeyi veya sıfır bilgi mimarisini doğrudan aşmadı; güvenilir bir bireyi hedef aldılar, kişisel bir cihazı istismar ettiler ve küçük boşlukları sabırla birleştirerek yüksek değerli erişime ulaştılar.
İşletmelere ve bireysel kullanıcılara kontroller ve uygun güvenlik önlemleri öneren Pierson, Yöneticiler ve ayrıcalıklı kullanıcılar için kişisel ve profesyonel dijital yaşamların ayrılmaz olduğunu ve düşmanların bunu bildiğini belirtti. Kurumsal içindeki kontroller kritik kalmaya devam ediyor, ancak bunlar kişisel cihazların sürekli korunması, gizlilik artırma ve ev ağı koruması ile birleştirilmelidir. Kişilerin ve yöneticilerin kişisel yaşamlarında dijital saldırı yüzeyini güvence altına almayan kuruluşlar, saldırılara arka kapıyı açık bırakıyorlar.
