LastPass Tedarik Zinciri Saldırısında Veri Sızıntısı Yaşadı – Veri Sızıntısı
Live
Sorgula
Kurumsal
Hakkımızda Kurucunun Notu Basın & Medya Gizlilik Politikası Kullanım Koşulları SSS Basın Kiti
Ürünler
HUBOne HUBCorp Yakında Veri Sızıntısı Android Yakında Veri Sızıntısı iOS Yakında Veri Sızıntısı Huawei Yakında Breach Radar Argus Flow Argus Engine LivePlatform
Teknolojiler
Argus AI Nedir? HUBOne'da Dene Argus Flow Nedir? Argus Engine Nedir?
Blog İletişim

LastPass Tedarik Zinciri Saldırısında Veri Sızıntısı Yaşadı

Popüler şifre yöneticisi LastPass, üçüncü taraf bir platform olan Klue üzerinden gerçekleştirilen tedarik zinciri saldırısında müşteri verilerinin sızdırıldığını doğruladı. Saldırıda OAuth tokenları çalındı ve Salesforce ortamındaki bilgilere erişildi.

LastPass logosu ve tedarik zinciri saldırısını simgeleyen bir kilit ve zincir görseli.

Ne Oldu

Dünyanın en popüler şifre yönetimi platformlarından biri olan LastPass, 23 Haziran 2026 tarihinde yaptığı bir açıklamayla, bir tedarik zinciri saldırısı sonucu müşteri verilerinin bir kısmına yetkisiz erişim sağlandığını doğruladı. Olay, LastPass'in pazarlama ve satış ekipleri tarafından kullanılan üçüncü taraf bir pazar araştırması platformu olan Klue'nun sistemlerinin ihlal edilmesiyle başladı. LastPass, olayı ilk olarak 12 Haziran'da Klue tarafından bilgilendirildikten sonra fark ettiğini ve derhal kapsamlı bir soruşturma başlattığını belirtti.

Saldırı, doğrudan LastPass'in kendi altyapısını veya şifre kasalarını hedef almadı. Bunun yerine, siber suçlular Klue platformunu bir sıçrama tahtası olarak kullandı. Bu tür saldırılar, bir şirketin güvenlik zincirindeki en zayıf halkayı, yani daha az güvenli olabilecek iş ortaklarını veya hizmet sağlayıcılarını hedef almasıyla biliniyor. LastPass vakasında, saldırganların hedefi Klue'nun elinde bulunan ve müşterilerinin diğer sistemlere (bu durumda Salesforce) erişimini sağlayan kimlik doğrulama anahtarlarıydı. Şirket, yaptığı açıklamada ürünlerinin, hizmetlerinin ve temel altyapısının bu olaydan etkilenmediğini ve en önemlisi müşteri şifre kasalarının güvende kaldığını özellikle vurguladı. Bu, kullanıcıların ana parolaları ve kasalarında saklanan hassas bilgilerin tehlikeye atılmadığı anlamına geliyor. Ancak, sızıntı yine de önemli kişisel verileri içeriyor ve bu durum kullanıcılar için ciddi riskler oluşturabilir.

Ele Geçirilen Veriler

LastPass, siber saldırganların Klue'dan çaldıkları kimlik doğrulama bilgileriyle şirketin Salesforce ortamına erişim sağladığını ve buradan belirli müşteri verilerini kopyaladığını açıkladı. Sızdırılan verilerin niteliği, kullanıcıların doğrudan iletişim ve kimlik bilgilerini içeriyor. Bu durum, gelecekteki olası oltalama (phishing) ve sosyal mühendislik saldırıları için saldırganlara değerli bir kaynak sunuyor. Şirketin açıklamasına göre, sızdırılan veriler şunları içeriyor:

E-postanız sızdırıldı mı? Ücretsiz sorgulayın, saniyeler içinde öğrenin.

Hemen Sorgula →
  • Müşteri adları: Kullanıcıların tam adları, saldırganların kişiye özel ve daha inandırıcı oltalama e-postaları hazırlamasına olanak tanır.
  • Telefon numaraları: Sesli oltalama (vishing) veya SMS tabanlı dolandırıcılık (smishing) saldırıları için kullanılabilir.
  • E-posta adresleri: Saldırıların birincil iletişim kanalıdır ve sahte LastPass bildirimleri göndermek için idealdir.
  • Fiziksel adresler: Nadiren de olsa, daha karmaşık dolandırıcılık senaryoları veya kimlik hırsızlığı için kullanılabilir.
  • Destek vaka bilgileri: Kullanıcıların daha önce yaşadığı sorunları içeren bu bilgiler, saldırganların LastPass destek ekibi gibi davranarak güven kazanmasını kolaylaştırabilir.
  • Satış/CRM ile ilgili veriler: Şirketlerin LastPass ile olan ticari ilişkilerine dair bilgiler, kurumsal müşterilere yönelik hedefli saldırılarda kullanılabilir.

LastPass, müşteri şifre kasalarını koruyan ana parolaların (master password) ve kasalardaki diğer verilerin bu sızıntıdan etkilenmediğini bir kez daha teyit etti. Ayrıca, müşteri görüşmeleri ve e-postalarını içeren Gong sistemleriyle ilgili verilere erişildiğine dair bir kanıt bulunmadığı da belirtildi. Yine de, kişisel bilgilerinizin başka sızıntılarda yer alıp almadığını kontrol etmek için bir Veri Sızıntısı Sorgulama aracı kullanmak her zaman iyi bir fikirdir.

Saldırı Nasıl Gerçekleşti

Bu olay, karmaşık bir tedarik zinciri saldırısının tipik bir örneğidir. Saldırının arkasında olduğu iddia edilen "Icarus" adlı gaspçı grup, doğrudan LastPass'i değil, onun iş ortağı olan Klue'yu hedef aldı. Saldırı zinciri şu adımlarla gerçekleşti:

  1. Klue Altyapısının İhlali: Saldırganlar, Klue'nun altyapısına, bir entegrasyon hizmeti için kullanılan eski ve güvenliği zayıf kimlik bilgileri (legacy credentials) aracılığıyla sızdı. Bu ilk adım, onlara sistem içinde bir dayanak noktası sağladı.
  2. OAuth Tokenlarının Çalınması: Sistemlere sızan saldırganlar, Klue'nun müşterileri adına üçüncü taraf hizmetlere (örneğin Salesforce ve Gong) bağlanmak için kullandığı OAuth tokenlarını hedef aldı. OAuth, bir uygulamanın başka bir uygulama adına belirli eylemleri gerçekleştirmesine izin veren bir yetkilendirme standardıdır. Bu tokenlar, şifreler olmadan sistemler arası erişim sağlayan dijital anahtarlar gibidir.
  3. LastPass Salesforce Ortamına Erişim: Icarus grubu, çaldığı LastPass'e ait OAuth tokenını kullanarak, şirketin müşteri verilerini yönettiği Salesforce ortamına yetkili bir uygulama gibi erişim sağladı. Bu erişim sayesinde, yukarıda listelenen müşteri verilerini dışarı sızdırdılar.

Saldırıyı üstlenen Icarus grubu, bu yöntemle sadece LastPass'i değil, Klue'nun diğer birçok müşterisini de hedef aldı. Grup, ele geçirdiği verileri kullanarak bir şantaj kampanyası başlattığını iddia ediyor. Bu tür saldırılar, şirketlerin yalnızca kendi güvenliklerini değil, aynı zamanda tüm iş ortaklarının güvenlik duruşunu da dikkate alması gerektiğini bir kez daha gösteriyor. Güncel Veri Sızıntısı Haberleri, tedarik zinciri saldırılarının giderek artan bir tehdit olduğunu ortaya koymaktadır.

Etkilenenler Kim

Sızıntıdan doğrudan etkilenenler, yukarıda belirtilen kişisel ve ticari bilgileri LastPass'in Salesforce sisteminde kayıtlı olan müşterilerdir. Ancak bu olayın kapsamı, LastPass ile sınırlı değil. Saldırının kaynağı Klue platformu olduğu için, bu platformu kullanan diğer birçok tanınmış şirket de risk altında. Icarus grubunun iddialarına ve siber güvenlik camiasındaki raporlara göre, Klue sızıntısından etkilenen diğer bazı kuruluşlar şunlardır:

  • Recorded Future
  • Tanium
  • Jamf
  • Sprout Social
  • Gong
  • Insurity

Bu durum, Klue'daki güvenlik açığının ne kadar geniş bir etki yarattığını gözler önüne seriyor. Listelenen her şirket, kendi Salesforce veya diğer entegre sistemlerindeki verilerin risk altında olup olmadığını belirlemek için kendi soruşturmasını yürütmek zorunda kaldı. Bu olay, bir hizmet sağlayıcıdaki tek bir zafiyetin, nasıl bir domino etkisi yaratarak onlarca müşteriyi etkileyebileceğinin somut bir kanıtıdır.

Ne Yapabilirsin

LastPass kullanıcılarının şifre kasaları güvende olsa da, sızdırılan kişisel veriler nedeniyle dikkatli olmaları gerekiyor. Saldırganlar bu bilgileri sizi kandırmak için kullanabilir. İşte almanız gereken önlemler:

  • Oltalama Saldırılarına Karşı Dikkatli Olun: Adınızı, e-posta adresinizi ve telefon numaranızı bilen saldırganlar, LastPass'ten geliyormuş gibi görünen son derece inandırıcı sahte e-postalar veya SMS'ler gönderebilir. Bu iletilerde, "hesabınızda şüpheli bir aktivite tespit edildiği" veya "parolanızı sıfırlamanız gerektiği" gibi aciliyet hissi uyandıran ifadeler kullanılabilir. Asla bu tür iletilerdeki linklere tıklamayın veya ekleri indirmeyin.
  • Ana Parolanızı Asla Paylaşmayın: LastPass veya başka hiçbir şirket, sizden ana parolanızı e-posta, telefon veya başka bir yolla istemez. Ana parolanız, kasanızın tek anahtarıdır ve sadece size aittir.
  • Resmi İletişim Kanallarını Kullanın: LastPass ile iletişime geçmeniz gerekirse, sadece resmi web sitesi veya uygulaması üzerinden sağlanan destek kanallarını kullanın.
  • Şüpheli Alan Adlarına Dikkat Edin: LastPass, saldırganların sahte iletişim için baccarat.com[.]au, robinskitchen.com[.]au ve house[.]com.au gibi alan adlarını kullanabileceği konusunda uyarıda bulundu. Bu ve benzeri şüpheli göndericilerden gelen e-postalara itibar etmeyin.

Şirket Ne Diyor

LastPass, olayı öğrendiği andan itibaren bir dizi önlem aldığını duyurdu. Şirketin resmi açıklamasına göre atılan adımlar şunlardır:

"12 Haziran'da, go-to-market ekiplerimiz tarafından kullanılan ve Salesforce ile Gong sistemlerimizle entegre olan üçüncü taraf bir pazar istihbarat platformu olan Klue'da (klue.com) meydana gelen bir olaydan haberdar edildik. Derhal bir soruşturma başlattık ve bu olayın bir parçası olarak, yetkisiz bir aktörün Klue'nun LastPass de dahil olmak üzere birçok müşterisi için tuttuğu OAuth tokenlarını ele geçirebildiğini öğrendik."

Bu açıklamanın ardından LastPass, aşağıdaki adımları attığını belirtti:

  • Çalışanların Klue platformuna erişimini derhal devre dışı bıraktı.
  • Sızıntıdan etkilenen API/OAuth tokenlarını hemen iptal etti ve yeniledi.
  • Olayı ilgili emniyet birimlerine bildirdi.
  • Siber güvenlik uzmanlarıyla birlikte olayın tüm boyutlarını ortaya çıkarmak için devam eden bir soruşturma yürütüyor.

LastPass, şeffaflık ilkesi gereği kullanıcılarını bilgilendirmeye devam edeceğini ve güvenlik önlemlerini artırmak için çalıştığını vurguladı.

Kaynak

https://www.bleepingcomputer.com/news/security/lastpass-confirms-data-breach-in-klue-supply-chain-attack/

Bu Yazıyı Paylaş
X LinkedIn WhatsApp
← Önceki Yazı Kanadalı Elektrik Tedarikçisi London Hydro Veri İhlali Açıkladı Sonraki Yazı → Xsolis Veri İhlali 1.4 Milyon Kişiyi Etkiledi

Haftalık Bülten

Her hafta seçilmiş veri ihlali haberleri doğrudan gelen kutunuza gelsin.