Şifre Yöneticileri Vaat Edilenden Daha Az Güvenli

Günümüz dijital dünyasında, çevrimiçi hizmetlere erişim için yüzlerce şifre kullanmak yaygın bir durumdur. Bu şifreleri hatırlama zorluğu nedeniyle, milyonlarca insan Bitwarden, LastPass ve Dashlane gibi bulut tabanlı şifre yöneticilerine güvenmektedir. Bu yöneticiler, kullanıcılara tek bir ana şifre ile tüm hesaplarına erişim kolaylığı sunarken, genellikle "sıfır bilgi şifrelemesi" (zero-knowledge encryption) vaadiyle ürünlerini pazarlarlar. Bu vaat, kullanıcı verilerinin o kadar güçlü şifrelendiğini ve hatta hizmet sağlayıcıların bile bu verilere erişemediğini, dolayısıyla sunuculara bir saldırı olsa dahi müşteri verilerinin güvende kalacağını iddia eder.

Ancak, ETH Zürih'ten araştırmacılar, bu popüler şifre yöneticilerinde ciddi güvenlik açıkları tespit etti. Matilda Backendal liderliğindeki ekip, Bitwarden'da 12, LastPass'ta 7 ve Dashlane'da 6 farklı saldırı yöntemi uygulayarak, depolanan şifreleri görüntüleyebildiklerini ve hatta değiştirebildiklerini gösterdi. Bu saldırılar, belirli kullanıcı kasalarını etkileyen bütünlük ihlallerinden, bir kuruluştaki tüm kasaların tamamen ele geçirilmesine kadar geniş bir yelpazeyi kapsıyordu. Araştırmacılar, saldırıya uğramış bir şifre yöneticisi sunucusu gibi davranan kendi kötü niyetli sunucularını kurarak, istemcilerle etkileşimde beklenen davranıştan sapmalar sergilediler.

Bu çalışma, "sıfır bilgi şifrelemesi" vaadinin her zaman yerine getirilmediğini ve siber saldırganların, şifre yöneticisi sunucularına erişmeleri durumunda kullanıcıların hassas verilerine ulaşabileceğini ortaya koyuyor. Yaklaşık 60 milyon kullanıcıya hizmet veren ve pazarın yüzde 23'ünü oluşturan bu yöneticilerdeki güvenlik açıkları, dijital güvenliğin ne kadar kırılgan olabileceğini bir kez daha gözler önüne seriyor. Kullanıcıların bankacılık bilgileri ve kredi kartı detayları gibi kritik verileri barındıran bu platformların vaat edilen güvenlik seviyesini sunmadığı kanıtlanmış oldu.