Shërbimi i menaxhimit të fjalëkalimeve LastPass u hakerua në gusht 2022 dhe sulmuesi vodhi fjalëkalimet e koduara të përdoruesve, sipas një deklarate të 23 dhjetorit nga kompania. Kjo do të thotë që sulmuesi mund të jetë në gjendje të thyejë disa fjalëkalime të uebsajteve të përdoruesve të LastPass përmes hamendjes së forcës brutale.
Njoftim për incidentin e fundit të sigurisë – Blog i LastPass#kalimi i fundit # hack #kalimi i fundit # infosec https://t.co/sQALfnpOTy
- Thomas Zickell (@thomaszickell) Dhjetor 23, 2022
LastPass zbuloi për herë të parë shkeljen në gusht 2022, por në atë kohë, dukej se sulmuesi kishte marrë vetëm kodin burimor dhe informacion teknik, jo ndonjë të dhënë të klientit. Megjithatë, kompania ka hetuar dhe ka zbuluar se sulmuesi përdori këtë informacion teknik për të sulmuar pajisjen e një punonjësi tjetër, e cila më pas u përdor për të marrë çelësat e të dhënave të klientit të ruajtura në një sistem ruajtjeje cloud.
Si rezultat, meta të dhënat e klientit janë të pakriptuara zbuluar ndaj sulmuesit, duke përfshirë "emrat e kompanive, emrat e përdoruesve fundorë, adresat e faturimit, adresat e emailit, numrat e telefonit dhe adresat IP nga të cilat klientët po aksesonin shërbimin LastPass".
Përveç kësaj, disa kasaforta të koduara të klientëve u vodhën. Këto kasaforta përmbajnë fjalëkalimet e faqes në internet që çdo përdorues ruan me shërbimin LastPass. Për fat të mirë, kasafortat janë të koduara me një Fjalëkalim Master, i cili duhet të parandalojë sulmuesin që të jetë në gjendje t'i lexojë ato.
Deklarata nga LastPass thekson se shërbimi përdor kriptim më të fundit për ta bërë shumë të vështirë për një sulmues leximin e skedarëve të kasafortës pa e ditur fjalëkalimin kryesor, duke thënë:
“Këto fusha të enkriptuara mbeten të siguruara me kriptimin AES 256-bit dhe mund të deshifrohen vetëm me një çelës unik enkriptimi që rrjedh nga fjalëkalimi kryesor i çdo përdoruesi duke përdorur arkitekturën tonë të njohurive zero. Si kujtesë, fjalëkalimi kryesor nuk dihet kurrë për LastPass dhe nuk ruhet ose mirëmbahet nga LastPass.”
Megjithatë, LastPass pranon se nëse një klient ka përdorur një fjalëkalim të dobët Master, sulmuesi mund të jetë në gjendje të përdorë forcë brutale për të marrë me mend këtë fjalëkalim, duke i lejuar ata të deshifrojnë kasafortën dhe të fitojnë të gjitha fjalëkalimet e faqes së internetit të klientëve, siç shpjegon LastPass:
“Është e rëndësishme të theksohet se nëse fjalëkalimi juaj kryesor nuk përdor [praktikat më të mira që rekomandon kompania], atëherë do të reduktonte ndjeshëm numrin e përpjekjeve të nevojshme për ta marrë me mend atë saktë. Në këtë rast, si një masë shtesë sigurie, duhet të konsideroni minimizimin e rrezikut duke ndryshuar fjalëkalimet e faqeve të internetit që keni ruajtur.”
A mund të eliminohen hakimet e menaxherit të fjalëkalimeve me Web3?
Shfrytëzimi i LastPass ilustron një pretendim që zhvilluesit e Web3 kanë bërë prej vitesh: që sistemi tradicional i hyrjes me emrin e përdoruesit dhe fjalëkalimin duhet të hiqet në favor të hyrjeve në portofolin blockchain.
Sipas avokatëve për hyrje në portofolin kripto, hyrjet tradicionale të fjalëkalimeve janë thelbësisht të pasigurta sepse kërkojnë që të mbahen hash fjalëkalimesh në serverët cloud. Nëse këto hashe vidhen, ato mund të thyhen. Përveç kësaj, nëse një përdorues mbështetet në të njëjtin fjalëkalim për uebsajte të shumta, një fjalëkalim i vjedhur mund të çojë në një shkelje të të gjithë të tjerëve. Nga ana tjetër, shumica e përdoruesve nuk mund të mbajnë mend fjalëkalime të shumta për uebsajte të ndryshme.
Për të zgjidhur këtë problem, janë shpikur shërbimet e menaxhimit të fjalëkalimeve si LastPass. Por këto gjithashtu mbështeten në shërbimet cloud për të ruajtur kasafortat e koduara të fjalëkalimeve. Nëse një sulmues arrin të marrë kasafortën e fjalëkalimit nga shërbimi i menaxherit të fjalëkalimeve, ai mund të jetë në gjendje të thyejë kasafortën dhe të marrë të gjitha fjalëkalimet e përdoruesit.
Aplikacionet Web3 e zgjidhin problemin në një mënyrë tjetër. Ata përdorin kuletat shtesë të shfletuesit si Metamask ose Trustwallet për t'u identifikuar duke përdorur një nënshkrim kriptografik, duke eliminuar nevojën për një fjalëkalim për t'u ruajtur në cloud.
Por deri më tani, kjo metodë është standardizuar vetëm për aplikacione të decentralizuara. Aplikacionet tradicionale që kërkojnë një server qendror nuk kanë aktualisht një standard të rënë dakord për mënyrën e përdorimit të kuletave kripto për hyrje.
Related: Facebook gjobitet me 265 milionë euro për rrjedhjen e të dhënave të klientëve
Sidoqoftë, një Propozim i fundit për Përmirësimin e Ethereum (EIP) synon të korrigjojë këtë situatë. I quajtur "EIP-4361", propozimi përpiqet të siguroj një standard universal për hyrjet në ueb që funksionon si për aplikacionet e centralizuara ashtu edhe për ato të decentralizuara.
Nëse ky standard bihet dakord dhe zbatohet nga industria Web3, përkrahësit e tij shpresojnë që i gjithë rrjeti botëror do të heqë qafe përfundimisht hyrjet me fjalëkalim, duke eliminuar rrezikun e shkeljeve të menaxherit të fjalëkalimeve si ai që ka ndodhur në LastPass.
Burimi: https://cointelegraph.com/news/lastpass-attacker-stole-password-vault-data-showing-web2-s-limitations