V storitev za upravljanje gesel LastPass je prišlo do vdora avgusta 2022 in napadalec je uporabnikom ukradel šifrirana gesla, je navedeno v izjavi podjetja z dne 23. decembra. To pomeni, da bo napadalec morda lahko razbil nekatera gesla spletnih strani uporabnikov LastPass z ugibanjem na silo.
Obvestilo o nedavnem varnostnem incidentu – Blog LastPass#lastpasshack #hack #lastpass #infosec https://t.co/sQALfnpOTy
— Thomas Zickell (@thomaszickell) December 23, 2022
LastPass je prvič razkril kršitev avgusta 2022, vendar se je takrat zdelo, da je napadalec pridobil le izvorno kodo in tehnične informacije, ne pa podatkov o strankah. Vendar pa je podjetje raziskalo in odkrilo, da je napadalec te tehnične informacije uporabil za napad na napravo drugega zaposlenega, ki je bila nato uporabljena za pridobitev ključev podatkov o strankah, shranjenih v sistemu za shranjevanje v oblaku.
Posledično so bili metapodatki strank nešifrirani je pokazala, napadalcu, vključno z "imeni podjetij, imeni končnih uporabnikov, naslovi za izstavitev računa, e-poštnimi naslovi, telefonskimi številkami in naslovi IP, s katerih so stranke dostopale do storitve LastPass."
Poleg tega so bili nekaterim strankam ukradeni šifrirani trezorji. Ti trezorji vsebujejo gesla za spletna mesta, ki jih vsak uporabnik shrani s storitvijo LastPass. Na srečo so trezorji šifrirani z glavnim geslom, ki naj bi napadalcu preprečilo, da bi jih prebral.
Izjava LastPassa poudarja, da storitev uporablja najsodobnejšo enkripcijo, da napadalcu zelo oteži branje datotek trezorja, ne da bi poznal glavno geslo, in navaja:
»Ta šifrirana polja ostanejo zavarovana s 256-bitnim šifriranjem AES in jih je mogoče dešifrirati samo z edinstvenim šifrirnim ključem, ki izhaja iz glavnega gesla vsakega uporabnika z uporabo naše arhitekture ničelnega znanja. Kot opomnik, LastPass nikoli ne pozna glavnega gesla in ga LastPass ne shranjuje ali vzdržuje.«
Kljub temu LastPass priznava, da če je stranka uporabila šibko glavno geslo, lahko napadalec uporabi surovo silo, da ugane to geslo, kar mu omogoči dešifriranje trezorja in pridobitev vseh gesel strankinega spletnega mesta, kot pojasnjuje LastPass:
»Pomembno je omeniti, da če vaše glavno geslo ne uporablja [najboljših praks, ki jih priporoča podjetje], bi to znatno zmanjšalo število poskusov, potrebnih za pravilno uganitev. V tem primeru bi morali kot dodatni varnostni ukrep razmisliti o zmanjšanju tveganja s spreminjanjem gesel spletnih mest, ki ste jih shranili.«
Ali je mogoče z Web3 odpraviti vdore upravitelja gesel?
Izkoriščanje LastPass ponazarja trditev, ki jo razvijalci Web3 postavljajo že leta: da je treba tradicionalni sistem prijave z uporabniškim imenom in geslom opustiti v korist prijav v denarnico blockchain.
Po mnenju zagovornikov prijava v kripto denarnico, tradicionalne prijave z gesli v osnovi niso varne, ker zahtevajo, da se zgoščene vrednosti gesel hranijo na strežnikih v oblaku. Če so ti hashi ukradeni, jih je mogoče vdreti. Poleg tega, če se uporabnik zanaša na isto geslo za več spletnih mest, lahko eno ukradeno geslo povzroči kršitev vseh drugih. Po drugi strani pa si večina uporabnikov ne more zapomniti več gesel za različna spletna mesta.
Za rešitev te težave so izumili storitve za upravljanje gesel, kot je LastPass. Toda tudi ti so odvisni od storitev v oblaku za shranjevanje šifriranih trezorjev gesel. Če napadalcu uspe pridobiti trezor gesel iz storitve upravitelja gesel, bo morda lahko vdrl v trezor in pridobil vsa uporabnikova gesla.
Težavo rešijo aplikacije Web3 na drugačen način. Za prijavo s kriptografskim podpisom uporabljajo denarnice z razširitvami brskalnika, kot sta Metamask ali Trustwallet, s čimer se odpravi potreba po shranjevanju gesla v oblaku.
Toda doslej je bila ta metoda standardizirana samo za decentralizirane aplikacije. Tradicionalne aplikacije, ki zahtevajo osrednji strežnik, trenutno nimajo dogovorjenega standarda za uporabo kripto denarnic za prijave.
Povezano: Facebook je zaradi razkritja podatkov o strankah kaznovan z globo v višini 265 milijonov evrov
Vendar pa je cilj nedavnega predloga za izboljšanje Ethereuma (EIP) popraviti to situacijo. Predlog, imenovan "EIP-4361", poskuša zagotavljajo univerzalni standard za spletne prijave, ki deluje tako za centralizirane kot decentralizirane aplikacije.
Če se bo industrija Web3 strinjala s tem standardom in ga bo izvajala, njegovi zagovorniki upajo, da se bo celoten svetovni splet sčasoma popolnoma znebil prijav z gesli, kar bo odpravilo tveganje kršitev upravitelja gesel, kot se je zgodilo pri LastPass.
Vir: https://cointelegraph.com/news/lastpass-attacker-stole-password-vault-data-showing-web2-s-limitations