2022 LastPass İhlali Açıklandı: Ne Çalındı, Ne Anlama Geliyor ve Nasıl Geçiş Yapılır
Ağustos / Kasım 2022'de saldırganlar, şifreli kullanıcı kasaları ile şifrelenmemiş meta verileri içeren LastPass bulut yedeklerini sızdırdı. İşte belgelenenler ve hâlâ bir LastPass hesabınız varsa şimdi ne yapmanız gerektiği.
Belgelenen zaman çizelgesi
LastPass'in yayımladığı olay bildirimlerine göre: Ağustos 2022'de saldırganlar bir LastPass geliştiricisinin makinesini ele geçirdi ve kaynak koduna erişti. Kasım 2022'de saldırganlar, Ağustos olayından elde ettikleri kimlik bilgilerini kullanarak LastPass'in üçüncü taraf bulut depolamasındaki bulut yedeklerine eriştiler. Bu yedekler, şifreli müşteri kasaları ile şifrelenmemiş meta verileri — kasa URL'leri, hesap e-posta adresleri, fatura bilgileri — içeriyordu. LastPass veri hırsızlığını 22 Aralık 2022'de açıkladı (blog.lastpass.com/posts/notice-of-recent-security-incident).
Şifrelemenin gerçekte neyi koruduğu
LastPass kasaları AES-256 ile şifrelenir; anahtar, ana paroladan PBKDF2 aracılığıyla türetilir. Korumanın gücü (a) ana parolanın entropisine ve (b) PBKDF2 yineleme sayısına bağlıdır. LastPass'in varsayılan PBKDF2 yineleme sayısı eski hesaplar için 5.000 idi ve 2018'de 100.100'e çıkarıldı. 2018'den önce oluşturulan hesaplar, kullanıcı manuel olarak yükseltmediği sürece hâlâ düşük yineleme sayılarına sahip olabilir — LastPass'in olay bildirimleri bunu belgeliyor. Düşük yineleme sayılı zayıf bir ana parola çevrimdışı kaba kuvvetle kırılabilir; 100.100+ yinelemeli güçlü bir ana parola ise mevcut donanımla kırılamaz.
Bir LastPass hesabınız varsa veya olduysa ne yapmalısınız
1. Adım: LastPass kasanızı web konsolundan dışa aktarın (Ayarlar → Gelişmiş Seçenekler → Dışa Aktar). 2. Adım: Bitwarden veya 1Password'e içe aktarın (her ikisinin de bitwarden.com/help/import-from-lastpass ve 1password.com/help adreslerinde belgelenmiş doğrudan LastPass içe aktarıcıları vardır). 3. Adım: İfşa maliyeti yüksek olan herhangi bir hesapta parolaları değiştirin — finans, e-posta, birincil sosyal medya. 4. Adım: Destekleyen her hesapta 2FA'yı etkinleştirin. 5. Adım: LastPass hesabını web konsolundan silin. Ana parolanız güçlüyse (12+ rastgele karakter veya 6+ sözcüklü parola cümlesi), şifreli kasa hesaplama açısından güvenlidir; değiştirme önlem amaçlıdır. Ana parolanız zayıfsa, yüksek değerli hesapları ele geçirilmiş olarak kabul edin.
İhlalin neden yalnızca LastPass'i değil, parola yöneticisi kategorisini etkilediği
LastPass ihlali, güvenlik araştırmacılarını kategori genelindeki mimari tercihleri daha dikkatli incelemeye yöneltti. İki özel çıkarım: (1) Şifreleme yineleme sayıları eşit değildir — 5.000 ile 100.100 PBKDF2 yinelemesi arasındaki fark büyüktür. Argon2id (Bitwarden ve diğerleri tarafından kullanılan modern KDF) yine kayda değer ölçüde daha güçlüdür. (2) Meta veri ifşası (hesapların URL'leri, e-posta adresleri), kasa içerikleri şifreli kalsa bile gerçek bir mahremiyet zararıdır; çünkü meta veriler bir saldırganın hedefleri önceliklendirmesine yardımcı olur. Modern denetlenmiş yöneticiler, beklemedeki veri katmanında meta veriyi sınırlandırır.
Kaynaklar
LastPass resmi olay bildirimleri: blog.lastpass.com/posts/notice-of-recent-security-incident. Bitwarden LastPass içe aktarıcısı: bitwarden.com/help/import-from-lastpass. 1Password yardım: 1password.com/help. Argon2id: password-hashing.net/argon2-specs.pdf. Tüm URL'lere 2026-04-30 tarihinde erişildi.