Usluga upravljanja lozinkama LastPass hakirana je u kolovozu 2022., a napadač je ukrao šifrirane lozinke korisnika, navodi se u izjavi tvrtke od 23. prosinca. To znači da bi napadač mogao probiti neke lozinke web stranica korisnika LastPass putem grubog pogađanja.
Obavijest o nedavnom sigurnosnom incidentu – Blog LastPass#lastpasshack # hack #posljednjiprolaz #infosec https://t.co/sQALfnpOTy
— Thomas Zickell (@thomaszickell) Prosinac 23, 2022
LastPass je prvi otkrio kršenje u kolovozu 2022., ali tada se činilo da je napadač dobio samo izvorni kod i tehničke informacije, a ne podatke o korisnicima. Međutim, tvrtka je istražila i otkrila da je napadač iskoristio te tehničke informacije za napad na uređaj drugog zaposlenika, koji je zatim korišten za dobivanje ključeva podataka o klijentima pohranjenih u sustavu za pohranu u oblaku.
Kao rezultat toga, metapodaci korisnika su bili nekriptirani otkrila napadaču, uključujući "nazive tvrtki, imena krajnjih korisnika, adrese za naplatu, adrese e-pošte, telefonske brojeve i IP adrese s kojih su korisnici pristupali usluzi LastPass."
Osim toga, šifrirani trezori nekih kupaca su ukradeni. Ovi trezori sadrže lozinke za web stranice koje svaki korisnik pohranjuje s uslugom LastPass. Srećom, trezori su šifrirani glavnom lozinkom, koja bi trebala spriječiti napadača da ih pročita.
Izjava LastPassa naglašava da usluga koristi najsuvremeniju enkripciju kako bi napadaču bilo vrlo teško čitati datoteke trezora bez poznavanja glavne lozinke, navodeći:
„Ova šifrirana polja ostaju zaštićena 256-bitnom AES enkripcijom i mogu se dešifrirati samo jedinstvenim ključem za šifriranje izvedenim iz glavne lozinke svakog korisnika koristeći našu Zero Knowledge arhitekturu. Kao podsjetnik, LastPass nikad ne zna glavnu lozinku i LastPass je ne pohranjuje niti održava.”
Unatoč tome, LastPass priznaje da ako je korisnik upotrijebio slabu glavnu lozinku, napadač bi mogao upotrijebiti grubu silu da pogodi ovu lozinku, dopuštajući mu dešifriranje trezora i dobivanje svih lozinki web stranica korisnika, kao što LastPass objašnjava:
“Važno je napomenuti da ako vaša glavna zaporka ne koristi [najbolje prakse koje tvrtka preporučuje], to bi značajno smanjilo broj pokušaja potrebnih da se ispravno pogodi. U ovom slučaju, kao dodatnu sigurnosnu mjeru, trebali biste razmotriti minimiziranje rizika promjenom lozinki web stranica koje ste pohranili.”
Mogu li se hakiranja upravitelja lozinki eliminirati s Web3?
Eksploatacija LastPass ilustrira tvrdnju koju Web3 programeri iznose godinama: da se tradicionalni sustav prijave korisničkim imenom i lozinkom treba odbaciti u korist prijava na blockchain novčanik.
Prema zagovornicima za prijava u kripto novčanik, tradicionalne prijave lozinki u osnovi su nesigurne jer zahtijevaju čuvanje hashova lozinki na poslužiteljima u oblaku. Ako se ti hashovi ukradu, mogu se provaliti. Osim toga, ako se korisnik oslanja na istu lozinku za više web stranica, jedna ukradena lozinka može dovesti do kršenja svih ostalih. S druge strane, većina korisnika ne može se sjetiti više lozinki za različite web stranice.
Kako bi se riješio ovaj problem, osmišljene su usluge upravljanja lozinkama kao što je LastPass. Ali oni se također oslanjaju na usluge u oblaku za pohranjivanje šifriranih trezora zaporki. Ako napadač uspije dobiti trezor lozinki od usluge upravitelja lozinki, možda će moći probiti trezor i dobiti sve korisničke lozinke.
Web3 aplikacije rješavaju problem na drugačiji način. Oni koriste novčanike proširenja preglednika kao što su Metamask ili Trustwallet za prijavu pomoću kriptografskog potpisa, eliminirajući potrebu za pohranjivanjem lozinke u oblaku.
Ali do sada je ova metoda bila standardizirana samo za decentralizirane aplikacije. Tradicionalne aplikacije koje zahtijevaju središnji poslužitelj trenutno nemaju dogovoreni standard za korištenje kripto novčanika za prijavu.
Povezano: Facebook je kažnjen sa 265 milijuna eura zbog curenja podataka o korisnicima
Međutim, nedavni prijedlog poboljšanja Ethereuma (EIP) ima za cilj popraviti ovu situaciju. Nazvan "EIP-4361", prijedlog pokušava pružiti univerzalni standard za web prijave koji radi i za centralizirane i za decentralizirane aplikacije.
Ako Web3 industrija prihvati i implementira ovaj standard, njegovi se zagovornici nadaju da će se čitava svjetska mreža na kraju potpuno riješiti prijavljivanja lozinkom, eliminirajući rizik od kršenja upravitelja lozinki poput onog koji se dogodio na LastPassu.
Izvor: https://cointelegraph.com/news/lastpass-attacker-stole-password-vault-data-showing-web2-s-limitations