Paroļu pārvaldības pakalpojums LastPass tika uzlauzts 2022. gada augustā, un uzbrucējs nozaga lietotāju šifrētās paroles, teikts uzņēmuma 23. decembra paziņojumā. Tas nozīmē, ka uzbrucējs var uzlauzt dažas LastPass lietotāju vietņu paroles, izmantojot brutālu uzminēšanu.
Paziņojums par neseno drošības incidentu — LastPass emuārs#pēdējaispasshack #uzlauzt #pēdējā caurlaide #infosec https://t.co/sQALfnpOTy
— Tomass Zikels (@thomaszickell) Decembris 23, 2022
LastPass pirmo reizi atklāja pārkāpumu 2022. gada augustā, taču toreiz šķita, ka uzbrucējs bija ieguvis tikai pirmkodu un tehnisko informāciju, nevis klientu datus. Tomēr uzņēmums ir izmeklējis un atklājis, ka uzbrucējs izmantojis šo tehnisko informāciju, lai uzbruktu cita darbinieka ierīcei, kas pēc tam izmantota, lai iegūtu atslēgas uz mākoņkrātuves sistēmā glabātajiem klientu datiem.
Rezultātā ir bijuši nešifrēti klientu metadati atklāja uzbrucējam, tostarp "uzņēmumu nosaukumus, galalietotāju vārdus, norēķinu adreses, e-pasta adreses, tālruņu numurus un IP adreses, no kurām klienti piekļuva LastPass pakalpojumam."
Turklāt dažiem klientiem tika nozagtas šifrētās glabātuves. Šīs glabātuves satur vietņu paroles, kuras katrs lietotājs saglabā pakalpojumā LastPass. Par laimi, glabātuves ir šifrētas ar galveno paroli, kas neļautu uzbrucējam tās nolasīt.
LastPass paziņojumā uzsvērts, ka pakalpojums izmanto vismodernāko šifrēšanu, lai uzbrucējam būtu ļoti grūti lasīt glabātuves failus, nezinot galveno paroli, norādot:
"Šie šifrētie lauki joprojām ir aizsargāti ar 256 bitu AES šifrēšanu, un tos var atšifrēt tikai ar unikālu šifrēšanas atslēgu, kas iegūta no katra lietotāja galvenās paroles, izmantojot mūsu nulles zināšanu arhitektūru. Atgādinām, ka LastPass nekad nezina galveno paroli, un LastPass to neuzglabā un neuztur.
Tomēr LastPass atzīst, ka, ja klients ir izmantojis vāju galveno paroli, uzbrucējs var izmantot brutālu spēku, lai uzminētu šo paroli, ļaujot viņam atšifrēt glabātuvi un iegūt visas klientu vietņu paroles, kā skaidro LastPass:
“Ir svarīgi atzīmēt, ka, ja jūsu galvenajā parole netiek izmantota [uzņēmuma ieteiktā labākā prakse], tas ievērojami samazinātu to pareizu uzminēšanas mēģinājumu skaitu. Šajā gadījumā kā papildu drošības pasākums jums vajadzētu apsvērt iespēju samazināt risku, mainot saglabāto vietņu paroles.
Vai paroļu pārvaldnieka uzlaušanu var novērst, izmantojot Web3?
LastPass izmantošana ilustrē apgalvojumu, ko Web3 izstrādātāji ir izteikuši gadiem ilgi: tradicionālā lietotājvārdu un paroļu pieteikšanās sistēma ir jāatceļ par labu blokķēdes maka pieteikumiem.
Pēc aizstāvju domām par kriptovalūtas maka pieteikšanās, tradicionālās paroļu pieteikšanās būtībā ir nedrošas, jo tām mākoņserveros ir jāglabā paroļu jaucējkodi. Ja šīs jaucējkodas tiek nozagtas, tās var uzlauzt. Turklāt, ja lietotājs paļaujas uz vienu un to pašu paroli vairākām vietnēm, viena nozagta parole var izraisīt visu pārējo paroli. No otras puses, lielākā daļa lietotāju nevar atcerēties vairākas paroles dažādām vietnēm.
Lai atrisinātu šo problēmu, ir izgudroti paroļu pārvaldības pakalpojumi, piemēram, LastPass. Bet tie arī paļaujas uz mākoņpakalpojumiem, lai saglabātu šifrētu paroļu glabātuves. Ja uzbrucējam izdodas iegūt paroļu glabātuvi no paroļu pārvaldnieka pakalpojuma, viņš var uzlauzt glabātuvi un iegūt visas lietotāja paroles.
Web3 lietojumprogrammas atrisina problēmu citā veidā. Viņi izmanto pārlūkprogrammas paplašinājumu makus, piemēram, Metamask vai Trustwallet, lai pierakstītos, izmantojot kriptogrāfisku parakstu, tādējādi novēršot vajadzību pēc paroles, kas jāglabā mākonī.
Taču līdz šim šī metode ir standartizēta tikai decentralizētām lietojumprogrammām. Tradicionālajām lietotnēm, kurām nepieciešams centrālais serveris, pašlaik nav saskaņota standarta, lai pieteikšanās izmantotu kriptovalūtas.
Saistītie: Facebook tiek sodīts 265 miljonu eiro apmērā par klientu datu nopludināšanu
Tomēr nesenā Ethereum uzlabošanas priekšlikuma (EIP) mērķis ir šo situāciju labot. Priekšlikumā ar nosaukumu “EIP-4361” mēģināts nodrošināt universāls tīmekļa pieteikšanās standarts, kas darbojas gan centralizētās, gan decentralizētās lietojumprogrammās.
Ja Web3 nozare vienojas par šo standartu un to ieviesīs, tā atbalstītāji cer, ka viss globālais tīmeklis galu galā pilnībā atbrīvosies no paroļu pieteikšanās, tādējādi novēršot tādu paroļu pārvaldnieka pārkāpumu risku kā LastPass.
Avots: https://cointelegraph.com/news/lastpass-attacker-stole-password-vault-data-showing-web2-s-limitations