Bir güvenlik araştırmacısı LastPass kullanıcılarını endişeye sokacak bir durumu fark etti. Şifre yöneticisine yapılan bir saldırısıyla kullanıcıların e-posta adreslerinin, şifrelerinin, hatta iki unsurlu oturum açma kodlarının çalınabilmesi mümkün. Bu da hackerların LastPass’ta depolanmış halde duran tüm belgelere veya şifrelere ulaşabileceği anlamına geliyor.
LostPass adı verilen zararlı kod, 12 milyon kişinin yazılım projelerini keşfetmek ve projelere katkıda bulunmak için kullandığı Github isimli sitede yayınlandı. Bulut tabanlı güvenlik çözümü üreticisi Praesido’nun baş teknoloji sorumlusu Sean Cassidy incelemeyi Cumartesi günkü ShmooCon hacker konferansındaki özel sunumunda dinleyicilere aktardı.
Cassidy incelemesinde“LostPass çalışıyor çünkü LastPass mesajları saldırganların sahtesini oluşturabileceği tarayıcıda gösteriyor” Kullanıcılar sahte LostPass mesajıyla gerçek mesaj arasındaki farkı ayırt edemiyorlar çünkü aralarında hiçbir fark yok. Son pikseline kadar aynı bildirim ve oturum açma ekranı söz konusu.
LostPass Nasıl Çalışıyor
LastPass birkaç ay önce Cassidy’nin tarayıcısına bir mesaj göndererek oturumunun sona erdiğini bildiriyor ve yeniden oturum açmasını söylüyor. Halbuki Cassidy o esnada ne LastPass kullanıyor ne de otomatik oturum sonlandırmaya yönelik herhangi bir şey yapmış.
“Uyarıya tıklayınca bir şey fark ettim: Program bunu tarayıcının viewportunda gösteriyordu. Bu uyarıyı bir saldırgan oluşturmuş olabilirdi,” diyor Cassidy. “LastPass uzaktan erişilebilen bir API olduğu için saldırı ihtimali zihnimde iyice güçlendi.”
LostPass’in çalışması için kurbanın önce kötü amaçlı bir siteye girmesi, sonra da hackerın sırasıyla şunları yapması gerekiyor:
1- LastPass’i kontrol etmesi ve kullanıcıya bir oturum sona erdi bildirimi göndermesi.
2- kurbanı oturum açma sayfasına yönlendirmesi ve onu LastPass sayfasının bire bir aynısı olan ve hackerın kontrolü altında bulunan bir sayfaya yönlendirecek sahte bir bannera tıklatması.
3- kurbana şifresini ve kullanıcı adını yazdırması ve kurbanın tüm bilgilerini alması.
Yetersiz Çözüm
LastPass bir blog gönderisinde kötü niyetli bir sayfanın kullanıcının LastPass’teki oturumunu sona erdirmesini engelleyecek bir yöntem geliştirdiğini yazdı. LastPass artık kullanıcılar ana şifrelerini sahte bir LastPass sayfasına girecek olurlarsa fark edecek ve kullanıcılar oturum açmadan bir pop-up mesajıyla uyarı gönderecek. Kullanıcı bu uyarıyı görmeyecek veya dikkate almayacak olursa ikinci bir güvenlik katmanı var: Kullanıcıdan eğer bilinmeyen bir cihazdan oturum açıyorsa kimliğini doğrulamasını istemek.
Bunun yanında, gelişmiş tehdit tespiti şirketi Tripwire’da IT güvenliği ve risk stratejisi sorumlusu olan Tim Erlin web sitelerinin taklidini yaparak kullanıcı bilgilerini ele geçirmenin yeni bir olgu olmadığını söylüyor.
“Bu saldırı yöntemi finans sektöründe yıllardan beri kullanılıyor. Buradaki saldırı da ciddi olsa da, LastPass’in hızlı bir çözüm getireceğinden şüphem yok.”
Erlin tüm şifreleri tek bir yerde saklamanın kullanım açısından büyük rahatlık sağladığını, ayrıca LastPass gibi araçların şifre kullanımını büyük ölçüde azalttığını, ama yine de tek bir deponun büyük bir hedef oluşturduğunu da sözlerine ekliyor.
“Kullanıcılar şifrelemenin kesin bir çözüm olmadığını unutmamalı. Şifrelendirilmiş veriler aynı zamanda şifreleri çözülecek şekilde tasarlanırlar. Dolayısıyla çok kullanılan bir uygulamayı hacklemek saldırganların o veriye ulaşmak için kullanabilecekleri yöntemlerden biri.