Služba správy hesiel LastPass bola napadnutá v auguste 2022 a útočník ukradol zašifrované heslá používateľov, uvádza sa vo vyhlásení spoločnosti z 23. decembra. To znamená, že útočník môže byť schopný prelomiť niektoré heslá webových stránok používateľov LastPass prostredníctvom hádania hrubej sily.
Oznámenie o nedávnom bezpečnostnom incidente – Blog LastPass#lastpasshack #hack #posledný prechod #infosec https://t.co/sQALfnpOTy
— Thomas Zickell (@thomaszickell) Decembra 23, 2022
LastPass prvýkrát odhalil porušenie v auguste 2022, ale v tom čase sa zdalo, že útočník získal iba zdrojový kód a technické informácie, nie žiadne údaje o zákazníkoch. Spoločnosť však vyšetrila a zistila, že útočník použil tieto technické informácie na útok na zariadenie iného zamestnanca, ktoré sa potom použilo na získanie kľúčov k údajom o zákazníkoch uložených v cloudovom úložnom systéme.
Výsledkom boli nešifrované metadáta zákazníkov odhalil útočníkovi, vrátane „názvov spoločností, mien koncových používateľov, fakturačných adries, e-mailových adries, telefónnych čísel a adries IP, z ktorých zákazníci pristupovali k službe LastPass“.
Okrem toho boli niektorým zákazníkom ukradnuté šifrované trezory. Tieto trezory obsahujú heslá webových stránok, ktoré si každý používateľ ukladá so službou LastPass. Našťastie sú trezory zašifrované hlavným heslom, ktoré by malo zabrániť útočníkovi v ich prečítaní.
Vo vyhlásení LastPass sa zdôrazňuje, že služba používa najmodernejšie šifrovanie, aby bolo pre útočníka veľmi ťažké čítať súbory trezoru bez znalosti hlavného hesla, pričom sa uvádza:
„Tieto šifrované polia zostávajú zabezpečené 256-bitovým šifrovaním AES a možno ich dešifrovať iba pomocou jedinečného šifrovacieho kľúča odvodeného z hlavného hesla každého používateľa pomocou našej architektúry Zero Knowledge. Pripomíname, že hlavné heslo LastPass nikdy nepozná a LastPass ho neukladá ani neudržiava.
Napriek tomu LastPass pripúšťa, že ak zákazník použil slabé hlavné heslo, útočník môže byť schopný použiť hrubú silu na uhádnutie tohto hesla, čo mu umožní dešifrovať trezor a získať všetky heslá webových stránok zákazníkov, ako vysvetľuje LastPass:
„Je dôležité poznamenať, že ak vaše hlavné heslo nevyužíva [najlepšie postupy, ktoré spoločnosť odporúča], výrazne by sa tým znížil počet pokusov potrebných na jeho správne uhádnutie. V tomto prípade by ste ako dodatočné bezpečnostné opatrenie mali zvážiť minimalizáciu rizika zmenou hesiel webových stránok, ktoré máte uložené.“
Je možné pomocou Web3 odstrániť hacky správcu hesiel?
Využitie LastPass ilustruje tvrdenie, ktoré vývojári Web3 robili už roky: že tradičný systém prihlasovania používateľských mien a hesiel je potrebné zrušiť v prospech prihlásenia do peňaženky blockchain.
Podľa obhajcov pre prihlásenie do krypto peňaženky, tradičné prihlasovanie pomocou hesiel je zásadne neisté, pretože vyžaduje uchovávanie hash hesiel na cloudových serveroch. Ak sú tieto hashe ukradnuté, môžu byť cracknuté. Navyše, ak sa používateľ spolieha na rovnaké heslo pre viacero webových stránok, jedno ukradnuté heslo môže viesť k narušeniu všetkých ostatných. Na druhej strane si väčšina používateľov nepamätá viacero hesiel pre rôzne webové stránky.
Na vyriešenie tohto problému boli vynájdené služby správy hesiel ako LastPass. Tieto sa však spoliehajú aj na cloudové služby na ukladanie šifrovaných trezorov hesiel. Ak sa útočníkovi podarí získať trezor hesiel zo služby správcu hesiel, môže byť schopný prelomiť trezor a získať všetky heslá používateľov.
Web3 aplikácie riešia problém iným spôsobom. Na prihlásenie pomocou kryptografického podpisu používajú peňaženky s rozšíreniami prehliadača, ako sú Metamask alebo Trustwallet, čím sa eliminuje potreba uchovávania hesla v cloude.
Ale doteraz bola táto metóda štandardizovaná iba pre decentralizované aplikácie. Tradičné aplikácie, ktoré vyžadujú centrálny server, v súčasnosti nemajú dohodnutý štandard, ako používať kryptopeňaženky na prihlásenie.
Súvisiace: Facebook dostal pokutu 265 miliónov eur za únik údajov o zákazníkoch
Cieľom nedávneho návrhu na zlepšenie Etherea (EIP) je však túto situáciu napraviť. Návrh sa o to pokúša s názvom „EIP-4361“. poskytnúť univerzálny štandard pre webové prihlasovanie, ktorý funguje pre centralizované aj decentralizované aplikácie.
Ak tento štandard odsúhlasí a implementuje priemysel Web3, jeho zástancovia dúfajú, že celý svetový web sa nakoniec úplne zbaví prihlasovania pomocou hesiel, čím sa eliminuje riziko narušenia správcu hesiel, ako je to, ktoré sa stalo na LastPass.
Zdroj: https://cointelegraph.com/news/lastpass-attacker-stole-password-vault-data-showing-web2-s-limitations