Услуга управљања лозинкама ЛастПасс је хакована у августу 2022. године, а нападач је украо шифроване лозинке корисника, наводи се у саопштењу компаније од 23. децембра. То значи да нападач може бити у могућности да провали неке лозинке веб локација корисника ЛастПасс-а грубим нагађањем.
Обавештење о недавном безбедносном инциденту – Блог ЛастПасс#ластпассхацк # хацк #ластпасс #инфосец https://t.co/sQALfnpOTy
— Томас Зикел (@тхомасзицкелл) Декабрь 23, 2022
ЛастПасс је први пут открио кршење у августу 2022. године, али се у то време чинило да је нападач добио само изворни код и техничке информације, а не податке о клијентима. Међутим, компанија је истражила и открила да је нападач користио ове техничке информације за напад на уређај другог запосленог, који је потом коришћен за добијање кључева података о клијентима који се чувају у систему за складиштење у облаку.
Као резултат тога, нешифровани метаподаци о клијентима су били открила нападачу, укључујући „имена компанија, имена крајњих корисника, адресе за наплату, адресе е-поште, телефонске бројеве и ИП адресе са којих су клијенти приступали услузи ЛастПасс“.
Поред тога, украдени су шифровани трезори неких купаца. Ови трезори садрже лозинке веб локација које сваки корисник чува уз ЛастПасс услугу. Срећом, трезори су шифровани главном лозинком, што би требало да спречи нападача да их прочита.
У саопштењу ЛастПасс-а се наглашава да услуга користи најсавременију енкрипцију како би нападачу отежала читање датотека трезора без познавања главне лозинке, наводећи:
„Ова шифрована поља остају заштићена 256-битном АЕС енкрипцијом и могу се дешифровати само јединственим кључем за шифровање изведеним из главне лозинке сваког корисника користећи нашу архитектуру Зеро Кновледге. Подсећања ради, ЛастПасс никада не зна главну лозинку и ЛастПасс је не чува нити одржава.
Упркос томе, ЛастПасс признаје да ако је корисник користио слабу главну лозинку, нападач ће можда моћи да користи грубу силу да погоди ову лозинку, омогућавајући им да дешифрују трезор и добију све лозинке за веб локацију клијената, као што ЛастПасс објашњава:
„Важно је напоменути да ако ваша главна лозинка не користи [најбоље праксе које компанија препоручује], онда би то значајно смањило број покушаја потребних да се она исправно погоди. У овом случају, као додатну меру безбедности, требало би да размотрите смањење ризика променом лозинки веб локација које сте сачували.
Могу ли се хакови менаџера лозинки елиминисати са Веб3?
Експлоатација ЛастПасс-а илуструје тврдњу коју су програмери Веб3 износили годинама: да традиционални систем за пријављивање корисничког имена и лозинке треба укинути у корист пријављивања на блоцкцхаин новчанике.
Према заговорницима за пријављивање на крипто новчаник, традиционалне пријаве лозинки су суштински несигурне јер захтевају да се хешови лозинки чувају на серверима у облаку. Ако су ови хешови украдени, могу се разбити. Поред тога, ако се корисник ослања на исту лозинку за више веб локација, једна украдена лозинка може довести до кршења свих осталих. С друге стране, већина корисника не може да запамти више лозинки за различите веб локације.
Да би се решио овај проблем, измишљене су услуге управљања лозинкама као што је ЛастПасс. Али они се такође ослањају на услуге у облаку за чување шифрованих трезора лозинки. Ако нападач успе да добије трезор лозинки од услуге менаџера лозинки, можда ће моћи да провали трезор и добије све корисничке лозинке.
Веб3 апликације решавају проблем на другачији начин. Они користе новчанике проширења претраживача као што су Метамаск или Трустваллет за пријаву помоћу криптографског потписа, елиминишући потребу за чувањем лозинке у облаку.
Али до сада је овај метод био стандардизован само за децентрализоване апликације. Традиционалне апликације које захтевају централни сервер тренутно немају договорени стандард за коришћење крипто новчаника за пријављивање.
Релатед: Фејсбук је кажњен са 265 милиона евра због цурења података о корисницима
Међутим, недавни предлог за побољшање Етхереума (ЕИП) има за циљ да поправи ову ситуацију. Назван „ЕИП-4361“, предлог покушава да обезбедити универзални стандард за веб пријаве који ради и за централизоване и за децентрализоване апликације.
Ако се овај стандард сложи и примени од стране Веб3 индустрије, његови заговорници се надају да ће се цео светски веб на крају потпуно ослободити пријављивања лозинки, елиминишући ризик од кршења менаџера лозинки попут оног који се догодио на ЛастПасс-у.
Извор: хттпс://цоинтелеграпх.цом/невс/ластпасс-аттацкер-столе-пассворд-ваулт-дата-сховинг-веб2-с-лимитатионс