Сервіс керування паролями LastPass був зламаний у серпні 2022 року, і зловмисник викрав зашифровані паролі користувачів, згідно із заявою компанії від 23 грудня. Це означає, що зловмисник може зламати деякі паролі веб-сайтів користувачів LastPass за допомогою грубого вгадування.
Повідомлення про нещодавній інцидент безпеки – блог LastPass#останнійпасхак #злом #останній проход #infosec https://t.co/sQALfnpOTy
— Томас Зікелл (@thomaszickell) 23 Грудня, 2022
LastPass вперше оприлюднив злам у серпні 2022 року, але на той час виявилося, що зловмисник отримав лише вихідний код і технічну інформацію, а не дані про клієнтів. Однак компанія провела розслідування та виявила, що зловмисник використовував цю технічну інформацію для атаки на пристрій іншого співробітника, який потім використовувався для отримання ключів до даних клієнтів, що зберігаються в системі хмарного зберігання.
У результаті метадані клієнта були незашифрованими виявлено для зловмисника, включаючи «назви компаній, імена кінцевих користувачів, платіжні адреси, адреси електронної пошти, номери телефонів та IP-адреси, з яких клієнти отримували доступ до служби LastPass».
Крім того, у деяких клієнтів були викрадені зашифровані сховища. Ці сховища містять паролі веб-сайтів, які кожен користувач зберігає в службі LastPass. На щастя, сховища зашифровано за допомогою головного пароля, який не дозволить зловмиснику їх прочитати.
У заяві LastPass наголошується, що служба використовує найсучасніше шифрування, щоб зловмисникам було дуже важко читати файли сховища, не знаючи головного пароля, зазначаючи:
«Ці зашифровані поля залишаються захищеними 256-бітним шифруванням AES і можуть бути розшифровані лише за допомогою унікального ключа шифрування, отриманого з головного пароля кожного користувача за допомогою нашої архітектури Zero Knowledge. Нагадуємо, що головний пароль ніколи не відомий LastPass і не зберігається та не підтримується LastPass».
Незважаючи на це, LastPass визнає, що якщо клієнт використав слабкий майстер-пароль, зловмисник може застосувати грубу силу, щоб вгадати цей пароль, що дозволить йому розшифрувати сховище та отримати всі паролі веб-сайтів клієнтів, як пояснює LastPass:
«Важливо зауважити, що якщо ваш головний пароль не використовує [найкращі практики, рекомендовані компанією], це значно зменшить кількість спроб, необхідних для його правильного вгадування. У цьому випадку, як додатковий захід безпеки, ви повинні мінімізувати ризик, змінивши паролі веб-сайтів, які ви зберегли».
Чи можна усунути злом менеджера паролів за допомогою Web3?
Експлойт LastPass ілюструє тезу, яку розробники Web3 висувають роками: традиційну систему входу за іменем користувача та паролем потрібно скасувати на користь входу в гаманець блокчейну.
За словами прихильників вхід у крипто-гаманець, традиційний вхід із паролем принципово небезпечний, оскільки вимагає зберігання хешів паролів на хмарних серверах. Якщо ці хеші вкрадуть, їх можна зламати. Крім того, якщо користувач покладається на той самий пароль для кількох веб-сайтів, один викрадений пароль може призвести до злому всіх інших. З іншого боку, більшість користувачів не можуть запам’ятати декілька паролів для різних веб-сайтів.
Щоб вирішити цю проблему, були створені служби керування паролями, такі як LastPass. Але вони також покладаються на хмарні служби для зберігання зашифрованих сховищ паролів. Якщо зловмиснику вдасться отримати сховище паролів із служби диспетчера паролів, він може зламати сховище та отримати всі паролі користувача.
Програми Web3 вирішують проблему іншим способом. Вони використовують гаманці розширення браузера, такі як Metamask або Trustwallet, для входу за допомогою криптографічного підпису, усуваючи необхідність зберігати пароль у хмарі.
Але поки що цей метод стандартизовано лише для децентралізованих програм. Традиційні програми, яким потрібен центральний сервер, наразі не мають узгодженого стандарту використання крипто-гаманців для входу.
За темою: Facebook оштрафували на 265 мільйонів євро за витік даних клієнтів
Однак нещодавня пропозиція щодо вдосконалення Ethereum (EIP) має на меті виправити цю ситуацію. Пропозиція під назвою «EIP-4361» намагається забезпечувати універсальний стандарт для входу в Інтернет, який працює як для централізованих, так і для децентралізованих програм.
Якщо цей стандарт буде погоджено та впроваджено галуззю Web3, його прихильники сподіваються, що вся всесвітня павутина зрештою повністю позбудеться входу за допомогою пароля, усунувши ризик злому менеджера паролів, подібного до того, що сталося в LastPass.
Джерело: https://cointelegraph.com/news/lastpass-attacker-stole-password-vault-data-showing-web2-s-limitations