L­a­s­t­P­a­s­s­ ­A­n­a­ ­P­a­r­o­l­a­n­ı­z­ı­ ­d­e­ğ­i­ş­t­i­r­i­n­ ­—­ ­g­ü­v­e­n­l­i­k­ ­o­l­a­y­ı­ ­a­r­t­ı­k­ ­s­ö­y­l­e­n­t­i­ ­d­e­ğ­i­l­

Yani, bir iyi haberimiz bir de kötü haberimiz var. İyi haber şu ki, bu Ağustos ayında LastPass’e yönelik bilgisayar korsanlığı girişimi herhangi bir kullanıcı verisinin çalınmasına neden olmadı. Yaşasın! Ancak, bilgisayar korsanlarının bir LastPass çalışanını hedef almalarına olanak tanıyan bazı bilgi birikimlerini çalmalarına izin verdi ve bu sayede— kuyu — kullanıcı verilerini çaldı. Boo!Şimdi, LastPass’ı kendi vaatlerine göre şeffaf kaldığı için takdir etmeliyiz ve hikayeyi bir blog yazısı aracılığıyla paylaşmak. Burada yumruk atmak kolay olsa da durumun onlar için de zor olduğundan eminiz.

Bilgisayar korsanları, LastPass sunucuları tarafından gerçek zamanlı olarak saklanan ve kullanılan güncel bilgilerde olduğu gibi herhangi bir canlı veri elde etmese de, yedekleri ele geçirdiler. Çoğu insan şifrelerini rastgele değiştirme alışkanlığına sahip olmadığından, çoğu durumda bu yedeklemeler muhtemelen belki ilgili bilgileri içerir.

Alındığı onaylanan bilgi türlerinin listesi aşağıdadır:

• Şirket ve kullanıcı adları
• Fatura adresleri
• E-postalar
• cep telefonu numaraları
• IP adresleri

Bazı durumlarda, kötü niyetli üçüncü tarafın tam bir kullanıcı verisi paketini ele geçirebileceğini söylemek yeterli. Hiç iyi değil. Ancak, şirketin kullandığı ana veri türleri olan kullanıcı adları ve parolalar ne olacak?

Eh, onlar da çalındı; ancak şifrelenmiş olarak kalırlar. Bu, LastPass’ın Sıfır Bilgi mimarisi sayesinde, suçluların ana parolanızı öğrenene kadar bunların hiçbirini çözemeyeceği anlamına gelir.

LastPass hesabımı güvende tutmak için ne yapmalıyım?

Bu noktada harekete geçirici mesaj açık olmalıdır: Millet, LastPass ana şifrenizi değiştirin! Ve bağlı kaldığınızdan emin olun şirketin paylaştığı parolayla ilgili en iyi uygulamalar.

İddialara göre, bunları kullanacak olsaydınız, bilgisayar korsanlarının parolalarınızı günümüz teknolojisiyle kaba kuvvetle (tahmin edin, ancak BT terimleriyle) yapabilmek için “milyonlarca yıl” geçmesi gerekirdi.

Yapmanız gereken başka bir şey de, şifrelerinizi değiştirmiş olsanız bile sosyal mühendislik veya kimlik avı girişimlerine karşı tetikte olmaktır. Bunlar genellikle sizi paylaşma konusunda baskı altında hissettirerek giriş bilgilerinizi onlara vermeye ikna etmeye çalışan e-postalar veya DM’lerdir.

Bu, hiçbir saygın şirketin bunu yapmayacağına dair nazik hatırlatmanızdır. Eğer yaparlarsa, saygınlıklarını kesinlikle sorgulamanız gerekir. Ve sorgulamanın iyi bir yolu, tekrar kontrol etmektir.

Örneğin, – muhtemelen – bankanız arar ve çevrimiçi bankacılık bilgilerinizi isterse, gerçek, varsayılan olmayan bankanızı aramak için aramayı ertelemeye çalışın ve onlara sizi bu bilgiyi istemek için arayıp aramadıklarını sorun. Cevap muhtemelen şok edici olmayacak.

Bu görüntü, metni nedeniyle öncelikle ironik ve komedi amaçlıdır.

Dolayısıyla, bu Aralık’ın geçen Aralık’ın tekrarı gibi hissetmeye başladığı göz önüne alındığında (LastPass kullanıcıları garip giriş denemeleri bildirdiğinde), şu soruyu sormalıyız: Gelecekteki aksilikleri önlemek için şirket ne yapıyor? Bu konuda da şeffaf davrandılar.

Dürüst olmak gerekirse, mümkün olan en iyi şeyi yapıyorlar: çalınan bilgi birikimiyle ilgisi olan her şeyi ortadan kaldırmak ve gelişmiş koruma ve uyarı mekanizmalarıyla sıfırdan yepyeni bir sistem oluşturmak.

LastPass CEO’su Karim Toubba, şu an itibariyle başka bir işlem yapılmasına gerek olmadığını belirtti. Hatta mevcut ana şifreniz yukarıda belirtilen en iyi uygulamalara uyuyorsa, onu değiştirmeden devam edebileceğinizi söyleyecek kadar ileri giderler.

Ancak, hayatın doğası öyle olsa da, çok az şey zaman içinde tutarlı kalır, bir şey her zaman tutar: üzgün olmaktansa güvende olmak daha iyidir. Güçlü bir parola oluşturmayı öğrenmenizi ve bu bilgiyi sonuna kadar kullanmanızı önemle tavsiye ederiz.