Usluga upravljanja lozinkama LastPass hakovana je u avgustu 2022. godine, a napadač je ukrao šifrovane lozinke korisnika, navodi se u saopštenju kompanije od 23. decembra. To znači da napadač može biti u mogućnosti da provali neke lozinke za web stranice LastPass korisnika putem grubog nagađanja.
Obaveštenje o nedavnom bezbednosnom incidentu – Blog LastPass#lastpasshack #hacks #lastpass #infosec https://t.co/sQALfnpOTy
— Thomas Zickell (@thomaszickell) Decembar 23, 2022
LastPass je prvi put otkrio kršenje u augustu 2022. godine, ali se u to vrijeme činilo da je napadač dobio samo izvorni kod i tehničke informacije, a ne bilo kakve podatke o korisnicima. Međutim, kompanija je istražila i otkrila da je napadač koristio ove tehničke informacije kako bi napao uređaj drugog zaposlenika, koji je potom korišten za dobijanje ključeva podataka o klijentima pohranjenih u sistemu za pohranu u oblaku.
Kao rezultat toga, nešifrirani metapodaci o klijentima otkrio napadaču, uključujući "nazive kompanija, imena krajnjih korisnika, adrese za naplatu, adrese e-pošte, telefonske brojeve i IP adrese sa kojih su korisnici pristupali usluzi LastPass."
Osim toga, ukradeni su šifrirani trezori nekih kupaca. Ovi trezori sadrže lozinke za web stranice koje svaki korisnik pohranjuje s uslugom LastPass. Srećom, trezori su šifrirani glavnom lozinkom, koja bi trebala spriječiti napadača da ih pročita.
U saopštenju LastPass-a se naglašava da usluga koristi najsavremeniju enkripciju kako bi napadaču otežala čitanje datoteka trezora bez poznavanja glavne lozinke, navodeći:
“Ova šifrirana polja ostaju zaštićena 256-bitnom AES enkripcijom i mogu se dešifrirati samo jedinstvenim ključem za šifriranje izvedenom iz glavne lozinke svakog korisnika koristeći našu arhitekturu Zero Knowledge. Podsjetimo, LastPass nikad ne zna glavnu lozinku i LastPass je ne pohranjuje niti održava.”
Uprkos tome, LastPass priznaje da ako je korisnik koristio slabu glavnu lozinku, napadač može upotrijebiti grubu silu da pogodi ovu lozinku, omogućavajući im da dešifriraju trezor i dobiju sve lozinke za web stranice korisnika, kao što LastPass objašnjava:
„Važno je napomenuti da ako vaša glavna lozinka ne koristi [najbolje prakse koje kompanija preporučuje], onda bi to značajno smanjilo broj pokušaja potrebnih da se ona ispravno pogodi. U ovom slučaju, kao dodatnu sigurnosnu mjeru, trebali biste razmotriti smanjenje rizika promjenom lozinki web lokacija koje ste pohranili.”
Mogu li se hakovi za upravljanje lozinkama eliminisati sa Web3?
LastPass eksploatacija ilustruje tvrdnju koju Web3 programeri iznose godinama: da tradicionalni sistem za prijavu korisničkog imena i lozinke treba ukinuti u korist prijavljivanja na blockchain novčanike.
Prema zagovornicima za prijava na kripto novčanik, tradicionalne prijave lozinki su u osnovi nesigurne jer zahtijevaju hešove lozinki koje se čuvaju na serverima u oblaku. Ako su ovi hashevi ukradeni, mogu se razbiti. Osim toga, ako se korisnik oslanja na istu lozinku za više web stranica, jedna ukradena lozinka može dovesti do kršenja svih ostalih. S druge strane, većina korisnika ne može zapamtiti više lozinki za različite web stranice.
Da bi se riješio ovaj problem, izmišljene su usluge upravljanja lozinkama poput LastPass-a. Ali oni se također oslanjaju na usluge u oblaku za pohranu šifriranih trezora lozinki. Ako napadač uspije doći do trezora lozinki od usluge upravitelja lozinki, možda će moći provaliti trezor i dobiti sve korisničke lozinke.
Web3 aplikacije rješavaju problem na drugačiji način. Oni koriste novčanike proširenja pretraživača kao što su Metamask ili Trustwallet za prijavu koristeći kriptografski potpis, eliminišući potrebu za pohranjivanjem lozinke u oblaku.
Ali do sada je ova metoda standardizirana samo za decentralizirane aplikacije. Tradicionalne aplikacije koje zahtijevaju centralni server trenutno nemaju dogovoreni standard za korištenje kripto novčanika za prijavu.
Povezano: Facebook je kažnjen sa 265 miliona eura zbog curenja podataka o korisnicima
Međutim, nedavni prijedlog poboljšanja Ethereuma (EIP) ima za cilj da popravi ovu situaciju. Nazvan “EIP-4361”, prijedlog pokušava Pružiti univerzalni standard za web prijave koji radi i za centralizirane i za decentralizirane aplikacije.
Ako se ovaj standard složi i implementira od strane Web3 industrije, njegovi zagovornici se nadaju da će se cijeli svjetski web na kraju potpuno riješiti prijavljivanja lozinki, eliminirajući rizik od kršenja menadžera lozinki poput onog koji se dogodio na LastPass-u.
Izvor: https://cointelegraph.com/news/lastpass-attacker-stole-password-vault-data-showing-web2-s-limitations