Услугата за управување со лозинки LastPass била хакирана во август 2022 година, а напаѓачот ги украл шифрираните лозинки на корисниците, се вели во соопштението на компанијата од 23 декември. Ова значи дека напаѓачот можеби ќе може да пробие некои лозинки на веб-локациите на корисниците на LastPass преку погодување со брутална сила.
Известување за неодамнешен безбедносен инцидент - Блогот LastPass#последенпасшак #хак #последна помине # инфосек https://t.co/sQALfnpOTy
— Томас Зикел (@thomaszickell) Декември 23, 2022
LastPass првпат го откри прекршувањето во август 2022 година, но во тоа време, се чинеше дека напаѓачот добил само изворен код и технички информации, а не податоци за клиентите. Сепак, компанијата истражуваше и откри дека напаѓачот ги користел овие технички информации за да нападне уред на друг вработен, кој потоа се користел за да се добијат клучеви од податоците на клиентите складирани во системот за складирање облак.
Како резултат на тоа, беа нешифрирани метаподатоци за клиентите откри на напаѓачот, вклучувајќи „имиња на компании, имиња на крајни корисници, адреси за наплата, адреси на е-пошта, телефонски броеви и IP адреси од кои клиентите пристапувале до услугата LastPass“.
Покрај тоа, шифрирани трезори на некои клиенти беа украдени. Овие сефови ги содржат лозинките на веб-локациите што секој корисник ги складира со услугата LastPass. За среќа, трезорите се шифрирани со Master Password, што треба да го спречи напаѓачот да може да ги чита.
Во соопштението од LastPass се нагласува дека услугата користи најсовремена енкрипција за да му отежне на напаѓачот да ги чита сводните датотеки без да ја знае главната лозинка, наведувајќи:
„Овие шифрирани полиња остануваат заштитени со 256-битна AES шифрирање и може да се дешифрираат само со уникатен клуч за шифрирање добиен од главната лозинка на секој корисник користејќи ја нашата архитектура нулта знаење. За потсетување, главната лозинка никогаш не му е позната на LastPass и не е зачувана или одржувана од LastPass.
И покрај тоа, LastPass признава дека ако клиентот користел слаба Master Password, напаѓачот може да употреби брутална сила за да ја погоди оваа лозинка, дозволувајќи му да го дешифрира сефот и да ги добие сите лозинки на веб-локациите на клиентите, како што објаснува LastPass:
„Важно е да се забележи дека ако вашата главна лозинка не ги користи [најдобрите практики што ги препорачува компанијата], тогаш значително ќе го намали бројот на обиди потребни за правилно да се погоди. Во овој случај, како дополнителна безбедносна мерка, треба да размислите за минимизирање на ризикот со промена на лозинките на веб-локациите што сте ги зачувале“.
Дали хакерите на менаџерот за лозинки можат да се елиминираат со Web3?
Експлоатацијата на LastPass го илустрира тврдењето што програмерите на Web3 го прават со години: дека традиционалниот систем за најавување корисничко име и лозинка треба да се укине во корист на најавувања на блокчејн паричник.
Според застапниците за најава за крипто паричник, традиционалните најавувања со лозинка се фундаментално небезбедни бидејќи бараат хашови на лозинки да се чуваат на облак серверите. Ако овие хаши се украдени, тие можат да бидат разбиени. Дополнително, ако корисникот се потпира на иста лозинка за повеќе веб-локации, една украдена лозинка може да доведе до прекршување на сите други. Од друга страна, повеќето корисници не можат да запомнат повеќе лозинки за различни веб-локации.
За да се реши овој проблем, измислени се услуги за управување со лозинка како LastPass. Но, тие исто така се потпираат на облак услуги за складирање на шифрирани лозинки. Ако напаѓачот успее да го добие складот за лозинки од услугата за управување со лозинки, можеби ќе може да го пробие сефот и да ги добие сите лозинки на корисникот.
Веб3 апликациите го решаваат проблемот на поинаков начин. Тие користат паричници со екстензии на прелистувачот како Metamask или Trustwallet за да се најават со помош на криптографски потпис, со што се елиминира потребата за лозинка за складирање во облакот.
Но, досега, овој метод е стандардизиран само за децентрализирани апликации. Традиционалните апликации за кои е потребен централен сервер во моментов немаат договорен стандард за тоа како да се користат крипто-паричници за најавување.
Поврзани со: Фејсбук е казнет со 265 милиони евра поради протекување податоци за клиентите
Сепак, неодамнешниот предлог за подобрување на Ethereum (EIP) има за цел да ја поправи оваа ситуација. Наречен „EIP-4361“, предлогот се обидува да обезбеди универзален стандард за веб најавувања кој работи и за централизирани и за децентрализирани апликации.
Доколку овој стандард биде договорен и имплементиран од индустријата Web3, неговите поддржувачи се надеваат дека целата светска мрежа на крајот целосно ќе се ослободи од најавувањата со лозинка, елиминирајќи го ризикот од прекршување на менаџерот за лозинки како оној што се случи на LastPass.
Извор: https://cointelegraph.com/news/lastpass-attacker-stole-password-vault-data-showing-web2-s-limitations