Услугата за управление на пароли LastPass беше хакната през август 2022 г. и нападателят е откраднал криптираните пароли на потребителите, според изявление на компанията от 23 декември. Това означава, че нападателят може да успее да разбие някои пароли за уебсайтове на потребители на LastPass чрез отгатване с груба сила.
Известие за скорошен инцидент със сигурността – Блогът на LastPass#lastpasshack # хак #последен проход #infosec https://t.co/sQALfnpOTy
— Томас Зикел (@thomaszickell) Декември 23, 2022
LastPass за първи път разкри пробива през август 2022 г., но по това време изглеждаше, че нападателят е получил само изходен код и техническа информация, а не никакви данни за клиенти. Компанията обаче е разследвала и е открила, че нападателят е използвал тази техническа информация, за да атакува устройството на друг служител, което след това е било използвано за получаване на ключове за клиентски данни, съхранявани в система за съхранение в облак.
В резултат на това метаданните на клиента са били некриптирани разкри към нападателя, включително „имена на компании, имена на крайни потребители, адреси за фактуриране, имейл адреси, телефонни номера и IP адресите, от които клиентите са имали достъп до услугата LastPass“.
Освен това криптираните трезори на някои клиенти бяха откраднати. Тези трезори съдържат паролите за уебсайтове, които всеки потребител съхранява с услугата LastPass. За щастие, трезорите са криптирани с главна парола, която трябва да попречи на атакуващия да ги прочете.
Изявлението на LastPass подчертава, че услугата използва най-съвременно криптиране, за да направи много трудно за нападателя да чете файлове от трезора, без да знае главната парола, като посочва:
„Тези криптирани полета остават защитени с 256-битово AES криптиране и могат да бъдат декриптирани само с уникален ключ за криптиране, извлечен от главната парола на всеки потребител, използвайки нашата архитектура с нулево знание. Като напомняне, главната парола никога не е известна на LastPass и не се съхранява или поддържа от LastPass.”
Въпреки това LastPass признава, че ако клиентът е използвал слаба главна парола, атакуващият може да е в състояние да използва груба сила, за да отгатне тази парола, което им позволява да декриптират трезора и да получат всички пароли на уебсайтове на клиентите, както LastPass обяснява:
„Важно е да се отбележи, че ако вашата главна парола не използва [най-добрите практики, препоръчвани от компанията], това значително ще намали броя на опитите, необходими за правилното й отгатване. В този случай, като допълнителна мярка за сигурност, трябва да помислите за минимизиране на риска чрез промяна на паролите на уебсайтовете, които сте съхранили.
Могат ли хаковете на мениджъра на пароли да бъдат елиминирани с Web3?
Експлойтът LastPass илюстрира твърдение, което разработчиците на Web3 правят от години: че традиционната система за влизане с потребителско име и парола трябва да бъде премахната в полза на влизане в блокчейн портфейла.
Според защитниците на влизане в крипто портфейла, традиционните влизания с парола са фундаментално несигурни, тъй като изискват хешовете на паролите да се съхраняват на облачни сървъри. Ако тези хешове бъдат откраднати, те могат да бъдат разбити. Освен това, ако потребител разчита на една и съща парола за множество уебсайтове, една открадната парола може да доведе до нарушаване на всички останали. От друга страна, повечето потребители не могат да запомнят няколко пароли за различни уебсайтове.
За да се реши този проблем, са измислени услуги за управление на пароли като LastPass. Но те също разчитат на облачни услуги за съхраняване на криптирани хранилища за пароли. Ако нападател успее да получи хранилището за пароли от услугата за управление на пароли, той може да успее да пробие хранилището и да получи всички пароли на потребителя.
Web3 приложенията решават проблема по различен начин. Те използват портфейли с разширения на браузъра като Metamask или Trustwallet, за да влизат с помощта на криптографски подпис, елиминирайки необходимостта парола да се съхранява в облака.
Но досега този метод е стандартизиран само за децентрализирани приложения. Традиционните приложения, които изискват централен сървър, в момента нямат договорен стандарт за това как да използват крипто портфейли за влизане.
Свързани: Facebook е глобен с 265 милиона евро за изтичане на клиентски данни
Въпреки това, скорошно предложение за подобряване на Ethereum (EIP) има за цел да поправи тази ситуация. Наречено „EIP-4361“, предложението се опитва да предоставяне на универсален стандарт за влизане в мрежата, който работи както за централизирани, така и за децентрализирани приложения.
Ако този стандарт бъде съгласуван и приложен от Web3 индустрията, неговите поддръжници се надяват, че цялата световна мрежа в крайна сметка ще се отърве напълно от влизанията с парола, елиминирайки риска от пробиви в мениджъра на пароли като този, който се случи в LastPass.
Източник: https://cointelegraph.com/news/lastpass-attacker-stole-password-vault-data-showing-web2-s-limitations