LastPass Klue Tedarik Zinciri Saldırısıyla Veri Sızdırdı

Ne Oldu

Parola yönetimi denince akla gelen ilk isimlerden biri olan LastPass, bir kez daha büyük bir siber güvenlik olayıyla gündemde. Şirket, 24 Haziran 2026 tarihinde yaptığı açıklamada, iş ortağı olan Klue platformuna yönelik bir siber saldırı nedeniyle müşteri verilerinin sızdırıldığını doğruladı. Saldırı, son yılların en tehlikeli siber tehditlerinden biri olarak kabul edilen tedarik zinciri saldırısı yöntemiyle gerçekleştirildi. Olay, LastPass'in doğrudan sistemlerine yönelik bir saldırı olmasa da, güvendiği bir iş ortağının zafiyetinden kaynaklanarak kendi müşterilerini riske attı. Şirket, durumu 12 Haziran'da fark ettiğini ve derhal soruşturma başlattığını belirtti. Bu olay, bir şirketin kendi güvenliğinin ne kadar sağlam olursa olsun, ekosistemindeki en zayıf halkanın tüm yapıyı tehdit edebileceğini bir kez daha gösterdi. Konuyla ilgili güncel gelişmeleri takip etmek için Veri Sızıntısı Haberleri sayfasını ziyaret edebilirsiniz.

Ele Geçirilen Veriler

LastPass, sızıntının ardından kullanıcıların en çok merak ettiği soruyu net bir şekilde yanıtladı: Müşteri parola kasaları (vaults) bu saldırıdan etkilenmedi. Şirketin açıklamasına göre, saldırganlar LastPass'in ürünlerine, hizmetlerine veya ana altyapısına sızamadı. Bu, kullanıcıların sakladığı parolaların, notların ve diğer hassas bilgilerin güvende olduğu anlamına geliyor. Ancak bu durum, sızıntının önemsiz olduğu anlamına gelmiyor.

Saldırganların eriştiği veriler, LastPass'in Salesforce ortamında saklanan kayıtlardan oluşuyor. Bu veriler şunları içeriyor:

• İş İletişim Bilgileri: Müşteri adları, telefon numaraları, e-posta adresleri ve fiziksel posta adresleri.
• CRM Kayıtları: Müşteri ilişkileri yönetimi (CRM) sisteminde tutulan destek talebi bilgileri ve satışla ilgili kayıtlar.

Bu tür veriler, doğrudan finansal kayıplara yol açmasa da, dolaylı olarak çok tehlikeli olabilir. Saldırganlar, bu bilgileri hedefli oltalama (phishing) ve sosyal mühendislik saldırıları düzenlemek için kullanabilir. Örneğin, müşterilere LastPass'ten geliyormuş gibi görünen sahte e-postalar göndererek ana parolalarını veya diğer kişisel bilgilerini çalmaya çalışabilirler. Kişisel bilgilerinizin bu veya başka bir sızıntıda ifşa olup olmadığını öğrenmek için Veri Sızıntısı Sorgulama aracımızı kullanabilirsiniz.

Saldırı Nasıl Gerçekleşti

Saldırının merkezinde, LastPass'in pazarlama ve satış ekiplerinin kullandığı bir pazar araştırma platformu olan Klue yer alıyor. Klue, Salesforce ve Gong gibi CRM ve satış araçlarıyla entegre çalışarak şirketlere rekabet analizi hizmeti sunuyor. Bu entegrasyon, OAuth adı verilen bir yetkilendirme protokolü ile sağlanıyor. OAuth jetonları (tokens), bir uygulamanın (Klue) başka bir uygulamanın (Salesforce) verilerine kullanıcı şifresini bilmeden, belirli izinler dahilinde erişmesine olanak tanıyan dijital anahtarlar gibidir.

Saldırganlar, Klue'nün sistemlerine sızarak bu OAuth jetonlarını ele geçirdi. Çalınan jetonlar arasında LastPass'e ait olanlar da bulunuyordu. Bu jetonları kullanan saldırganlar, Klue'ye verilen yetkiler çerçevesinde LastPass'in Salesforce ortamındaki müşteri verilerine erişim sağladı. Bu yöntem, tipik bir tedarik zinciri saldırısı örneğidir: Saldırganlar doğrudan ana hedefi (LastPass) değil, onun daha az güvenli olabilecek bir iş ortağını (Klue) hedef alarak dolaylı yoldan hedeflerine ulaştılar.

Siber güvenlik firması Huntress, bu olayı bir "güvenlik domino etkisi" olarak tanımladı. Bir entegrasyon kimlik bilgisinin çalınmasıyla başlayan süreç, birden fazla bağlantılı platformdan veri hırsızlığına yol açarak zincirleme bir reaksiyonu tetikledi.

Etkilenenler Kim

Bu tedarik zinciri saldırısının etkileri sadece LastPass ile sınırlı değil. Klue'nün müşteri portföyünde yer alan birçok şirket bu sızıntıdan etkilendi. LastPass'in yanı sıra, siber güvenlik sektörünün önde gelen firmalarından bazıları da Klue sızıntısından etkilendiklerini doğruladı. Bu şirketler arasında Huntress, Recorded Future, Tanium ve Jamf bulunuyor. Bu firmaların her biri, kendi müşterilerini ve süreçlerini nasıl etkilediğine dair ayrı ayrı açıklamalar yayınladı.

Saldırının sorumluluğunu ise Nisan 2026'nın sonlarından beri aktif olan ve "Icarus" adıyla bilinen bir gaspçı grup üstlendi. Grup, saldırıyı kendi veri sızıntı sitesinde duyurdu. Bu durum, çalınan verilerin ilerleyen günlerde kötü niyetli amaçlarla satışa çıkarılabileceği veya daha fazla saldırı için kullanılabileceği endişelerini artırıyor.

Ne Yapabilirsin

LastPass kullanıcılarının parola kasaları güvende olsa da, sızdırılan iletişim bilgileri nedeniyle dikkatli olmaları gerekiyor. İşte atabileceğiniz adımlar:

• Oltalama Saldırılarına Karşı Tetikte Olun: LastPass'ten veya başka bir hizmet sağlayıcıdan geldiğini iddia eden e-postalara, SMS'lere veya telefon aramalarına şüpheyle yaklaşın. Özellikle sizden acilen bir bağlantıya tıklamanızı, bir dosyayı indirmenizi veya kişisel bilgilerinizi doğrulamanızı isteyen mesajlara karşı dikkatli olun.
• Ana Parolanızı Asla Paylaşmayın: LastPass, hiçbir zaman ve hiçbir koşulda size e-posta veya başka bir yolla ana parolanızı sormaz. Bu bilgiyi isteyen her türlü talep dolandırıcılık girişimidir.
• İletişim Bilgilerini Doğrulayın: Şüpheli bir e-posta alırsanız, gönderenin adresini dikkatle kontrol edin. Resmi LastPass iletişim kanallarından gelip gelmediğini teyit etmeden hiçbir işlem yapmayın.
• Çok Faktörlü Kimlik Doğrulamayı (MFA) Kullanın: LastPass hesabınızda ve diğer tüm çevrimiçi hesaplarınızda MFA'yı etkinleştirin. Bu, parolanız çalınsa bile hesabınıza yetkisiz erişimi önleyen ek bir güvenlik katmanıdır.

Şirket Ne Diyor

LastPass, olayı fark ettikten sonra bir dizi acil önlem aldığını duyurdu. Şirketin resmi açıklamasına göre atılan adımlar şunlar:

• Soruşturma Başlatıldı: Olayın boyutunu ve etkilerini anlamak için Klue ve Salesforce ile birlikte derhal bir iç soruşturma başlatıldı.
• Erişimler İptal Edildi: Tüm çalışanların Klue platformuna erişimi derhal iptal edildi.
• API Jetonları Değiştirildi: Sızıntıda ele geçirildiği anlaşılan tüm API jetonları (OAuth tokens) geçersiz kılındı ve yenilendi.
• Yasal Merciler Bilgilendirildi: Durum, ilgili yasal mercilere ve kolluk kuvvetlerine bildirildi.
• Saldırı Göstergeleri (IoC) Paylaşıldı: Güvenlik topluluğunun benzer saldırılara karşı önlem alabilmesi için saldırıda kullanılan IP adresleri ve e-posta gönderen alan adları gibi teknik göstergeler kamuoyu ile paylaşıldı.

Bu olay, LastPass'in 2022'de yaşadığı ve saldırganların müşteri parola kasası yedeklerini çaldığı büyük sızıntının ardından geldi. O sızıntıdan üç yıl sonra, TRM Labs araştırmacıları, çalınan kasalardan elde edilen kimlik bilgileriyle bağlantılı kripto para hırsızlıklarını ortaya çıkarmıştı. Bu yeni sızıntı, şirketin güvenlik konusundaki itibarını bir kez daha sorgulatıyor.

Kaynak

https://www.helpnetsecurity.com/2026/06/24/lastpass-klue-data-breach-salesforce-environment/