Η υπηρεσία διαχείρισης κωδικών πρόσβασης LastPass παραβιάστηκε τον Αύγουστο του 2022 και ο εισβολέας έκλεψε τους κρυπτογραφημένους κωδικούς πρόσβασης των χρηστών, σύμφωνα με δήλωση της εταιρείας στις 23 Δεκεμβρίου. Αυτό σημαίνει ότι ο εισβολέας μπορεί να είναι σε θέση να σπάσει ορισμένους κωδικούς πρόσβασης ιστότοπου των χρηστών του LastPass μέσω εικασίας ωμής βίας.
Ειδοποίηση για πρόσφατο περιστατικό ασφαλείας – Το ιστολόγιο LastPass#lastpasshack #άμαξα προς μίσθωση #τελευταίο πέρασμα #infosec https://t.co/sQALfnpOTy
— Thomas Zickell (@thomaszickell) Δεκέμβριος 23, 2022
Το LastPass αποκάλυψε για πρώτη φορά την παραβίαση τον Αύγουστο του 2022, αλλά εκείνη τη στιγμή, φάνηκε ότι ο εισβολέας είχε λάβει μόνο τον πηγαίο κώδικα και τις τεχνικές πληροφορίες, όχι δεδομένα πελατών. Ωστόσο, η εταιρεία ερεύνησε και ανακάλυψε ότι ο εισβολέας χρησιμοποίησε αυτές τις τεχνικές πληροφορίες για να επιτεθεί στη συσκευή άλλου υπαλλήλου, η οποία στη συνέχεια χρησιμοποιήθηκε για την απόκτηση κλειδιών για τα δεδομένα πελατών που ήταν αποθηκευμένα σε ένα σύστημα αποθήκευσης cloud.
Ως αποτέλεσμα, υπήρξαν μη κρυπτογραφημένα μεταδεδομένα πελατών αποκάλυψε στον εισβολέα, συμπεριλαμβανομένων «ονομάτων εταιρειών, ονομάτων τελικών χρηστών, διευθύνσεων χρέωσης, διευθύνσεων email, αριθμών τηλεφώνου και διευθύνσεων IP από τις οποίες οι πελάτες είχαν πρόσβαση στην υπηρεσία LastPass».
Επιπλέον, οι κρυπτογραφημένες θυρίδες ορισμένων πελατών κλάπηκαν. Αυτά τα θησαυροφυλάκια περιέχουν τους κωδικούς πρόσβασης ιστότοπου που αποθηκεύει κάθε χρήστης με την υπηρεσία LastPass. Ευτυχώς, τα θησαυροφυλάκια είναι κρυπτογραφημένα με έναν κύριο κωδικό πρόσβασης, ο οποίος θα πρέπει να εμποδίζει τον εισβολέα να μπορεί να τα διαβάσει.
Η δήλωση του LastPass τονίζει ότι η υπηρεσία χρησιμοποιεί κρυπτογράφηση τελευταίας τεχνολογίας για να δυσκολέψει πολύ έναν εισβολέα να διαβάσει τα αρχεία θησαυροφυλάκιο χωρίς να γνωρίζει τον Κύριο κωδικό πρόσβασης, δηλώνοντας:
«Αυτά τα κρυπτογραφημένα πεδία παραμένουν ασφαλισμένα με κρυπτογράφηση AES 256-bit και μπορούν να αποκρυπτογραφηθούν μόνο με ένα μοναδικό κλειδί κρυπτογράφησης που προέρχεται από τον κύριο κωδικό πρόσβασης κάθε χρήστη χρησιμοποιώντας την αρχιτεκτονική Zero Knowledge. Ως υπενθύμιση, ο κύριος κωδικός πρόσβασης δεν είναι ποτέ γνωστός στο LastPass και δεν αποθηκεύεται ή διατηρείται από το LastPass."
Ακόμα κι έτσι, το LastPass παραδέχεται ότι εάν ένας πελάτης έχει χρησιμοποιήσει έναν αδύναμο κύριο κωδικό πρόσβασης, ο εισβολέας μπορεί να είναι σε θέση να χρησιμοποιήσει ωμή βία για να μαντέψει αυτόν τον κωδικό πρόσβασης, επιτρέποντάς του να αποκρυπτογραφήσει το θησαυροφυλάκιο και να αποκτήσει όλους τους κωδικούς πρόσβασης στον ιστότοπο των πελατών, όπως εξηγεί το LastPass:
«Είναι σημαντικό να σημειωθεί ότι εάν ο κύριος κωδικός πρόσβασής σας δεν χρησιμοποιεί τις [βέλτιστες πρακτικές που προτείνει η εταιρεία], τότε θα μειώσει σημαντικά τον αριθμό των προσπαθειών που απαιτούνται για να τον μαντέψετε σωστά. Σε αυτήν την περίπτωση, ως πρόσθετο μέτρο ασφαλείας, θα πρέπει να εξετάσετε την ελαχιστοποίηση του κινδύνου αλλάζοντας τους κωδικούς πρόσβασης των ιστότοπων που έχετε αποθηκεύσει.»
Μπορούν να εξαλειφθούν τα hacks του password manager με το Web3;
Η εκμετάλλευση LastPass απεικονίζει έναν ισχυρισμό που διατυπώνουν εδώ και χρόνια οι προγραμματιστές του Web3: ότι το παραδοσιακό σύστημα σύνδεσης με όνομα χρήστη και κωδικό πρόσβασης πρέπει να καταργηθεί προς όφελος των συνδέσεων πορτοφολιών blockchain.
Σύμφωνα με τους συνηγόρους για Είσοδος κρυπτογραφικού πορτοφολιού, οι παραδοσιακές συνδέσεις κωδικών πρόσβασης είναι θεμελιωδώς ανασφαλείς επειδή απαιτούν κατακερματισμό των κωδικών πρόσβασης που πρέπει να διατηρούνται σε διακομιστές cloud. Εάν αυτά τα hashes κλαπούν, μπορούν να σπάσουν. Επιπλέον, εάν ένας χρήστης βασίζεται στον ίδιο κωδικό πρόσβασης για πολλούς ιστότοπους, ένας κλεμμένος κωδικός πρόσβασης μπορεί να οδηγήσει σε παραβίαση όλων των άλλων. Από την άλλη πλευρά, οι περισσότεροι χρήστες δεν μπορούν να θυμηθούν πολλούς κωδικούς πρόσβασης για διαφορετικούς ιστότοπους.
Για την επίλυση αυτού του προβλήματος, έχουν εφευρεθεί υπηρεσίες διαχείρισης κωδικών πρόσβασης όπως το LastPass. Αλλά αυτά βασίζονται επίσης σε υπηρεσίες cloud για την αποθήκευση κρυπτογραφημένων θησαυρών κωδικών πρόσβασης. Εάν ένας εισβολέας καταφέρει να αποκτήσει το θησαυροφυλάκιο κωδικών πρόσβασης από την υπηρεσία διαχείρισης κωδικών πρόσβασης, ενδέχεται να μπορέσει να σπάσει το θησαυροφυλάκιο και να αποκτήσει όλους τους κωδικούς πρόσβασης του χρήστη.
Οι εφαρμογές Web3 λύνουν το πρόβλημα με ένα διαφορετικό τρόπο. Χρησιμοποιούν πορτοφόλια επέκτασης προγράμματος περιήγησης όπως το Metamask ή το Trustwallet για να συνδεθούν χρησιμοποιώντας μια κρυπτογραφική υπογραφή, εξαλείφοντας την ανάγκη για αποθήκευση κωδικού πρόσβασης στο cloud.
Αλλά μέχρι στιγμής, αυτή η μέθοδος έχει τυποποιηθεί μόνο για αποκεντρωμένες εφαρμογές. Οι παραδοσιακές εφαρμογές που απαιτούν κεντρικό διακομιστή δεν διαθέτουν επί του παρόντος ένα συμφωνημένο πρότυπο για τον τρόπο χρήσης κρυπτογραφικών πορτοφολιών για συνδέσεις.
Συγγενεύων: Το Facebook επιβλήθηκε πρόστιμο 265 εκατομμυρίων ευρώ για διαρροή δεδομένων πελατών
Ωστόσο, μια πρόσφατη Πρόταση Βελτίωσης Ethereum (EIP) στοχεύει να διορθώσει αυτήν την κατάσταση. Ονομάζεται "EIP-4361", η πρόταση επιχειρεί να παρέχουν ένα καθολικό πρότυπο για συνδέσεις Ιστού που λειτουργεί τόσο για κεντρικές όσο και για αποκεντρωμένες εφαρμογές.
Εάν αυτό το πρότυπο συμφωνηθεί και εφαρμοστεί από τη βιομηχανία Web3, οι υποστηρικτές του ελπίζουν ότι ολόκληρος ο παγκόσμιος ιστός θα απαλλαγεί τελικά από τις συνδέσεις κωδικών πρόσβασης εντελώς, εξαλείφοντας τον κίνδυνο παραβιάσεων του διαχειριστή κωδικών πρόσβασης όπως αυτή που συνέβη στο LastPass.
Πηγή: https://cointelegraph.com/news/lastpass-attacker-stole-password-vault-data-showing-web2-s-limitations