Paroolihaldusteenust LastPass häkiti 2022. aasta augustis ja ründaja varastas kasutajate krüpteeritud paroolid, selgub ettevõtte 23. detsembri avaldusest. See tähendab, et ründajal võib olla võimalik murda mõned LastPassi kasutajate veebisaidi paroolid toore jõuga äraarvamise teel.
Teade hiljutise turvaintsidendi kohta – LastPassi ajaveeb#lastpasshack #häkid #viimane pass #infosec https://t.co/sQALfnpOTy
— Thomas Zickell (@thomaszickell) Detsember 23, 2022
LastPass avalikustas rikkumise esmakordselt 2022. aasta augustis, kuid sel ajal ilmnes, et ründaja oli hankinud ainult lähtekoodi ja tehnilist teavet, mitte ühtegi kliendiandmeid. Ettevõte on aga uurinud ja avastanud, et ründaja kasutas seda tehnilist teavet teise töötaja seadme ründamiseks, mida seejärel kasutati pilvesalvestussüsteemi salvestatud kliendiandmete võtmete hankimiseks.
Selle tulemusena on kliendi metaandmed krüptimata selgus ründajale, sealhulgas "ettevõtete nimed, lõppkasutajate nimed, arveldusaadressid, e-posti aadressid, telefoninumbrid ja IP-aadressid, millelt kliendid LastPassi teenusele juurde pääsesid."
Lisaks varastati osade klientide krüpteeritud varahoidlad. Need varahoidlad sisaldavad veebisaidi paroole, mille iga kasutaja salvestab teenusega LastPass. Õnneks on varahoidlad krüpteeritud põhiparooliga, mis peaks takistama ründajal neid lugeda.
LastPassi avalduses rõhutatakse, et teenus kasutab nüüdisaegset krüptimist, et muuta ründajal väga keeruliseks varafailide lugemist ilma põhiparooli teadmata, öeldes:
"Need krüptitud väljad jäävad kaitstuks 256-bitise AES-krüptimisega ja neid saab dekrüpteerida ainult unikaalse krüpteerimisvõtmega, mis on tuletatud iga kasutaja peaparoolist, kasutades meie nullteadmiste arhitektuuri. Tuletame meelde, et LastPass ei tea peaparooli kunagi ning LastPass ei salvesta ega hoolda seda.
Sellegipoolest tunnistab LastPass, et kui klient on kasutanud nõrka peaparooli, võib ründajal olla võimalik selle parooli ära arvamiseks kasutada toore jõudu, võimaldades neil varahoidla dekrüpteerida ja hankida kõik klientide veebisaidi paroolid, nagu LastPass selgitab:
"Oluline on märkida, et kui teie peaparool ei kasuta [ettevõtte soovitatud parimaid tavasid], vähendab see oluliselt selle õigeks äraarvamiseks vajalike katsete arvu. Sel juhul peaksite lisaturvameetmena kaaluma riski minimeerimist, muutes salvestatud veebisaitide paroole.
Kas Web3 abil saab paroolihalduri häkkimise kõrvaldada?
LastPassi ärakasutamine illustreerib väidet, mida Web3 arendajad on aastaid esitanud: traditsiooniline kasutajanime ja parooli sisselogimise süsteem tuleb plokiahela rahakoti sisselogimiste kasuks loobuda.
Pooldajate sõnul krüptorahakoti sisselogimine, on traditsioonilised paroolide sisselogimised põhimõtteliselt ebaturvalised, kuna nõuavad pilveserverites paroolide räsisid. Kui need räsid on varastatud, võib neid murda. Lisaks, kui kasutaja kasutab sama parooli mitme veebisaidi puhul, võib üks varastatud parool viia kõigi teiste paroolide rikkumiseni. Teisest küljest ei mäleta enamik kasutajaid erinevate veebisaitide jaoks mitut parooli.
Selle probleemi lahendamiseks on leiutatud paroolihaldusteenused nagu LastPass. Kuid need sõltuvad krüptitud paroolihoidlate salvestamiseks ka pilveteenustest. Kui ründajal õnnestub paroolihalduri teenusest paroolihoidla hankida, võib tal õnnestuda varahoidla murda ja hankida kõik kasutaja paroolid.
Web3 rakendused lahendavad probleemi teistmoodi. Nad kasutavad krüptograafilise allkirjaga sisselogimiseks brauseri laiendusega rahakotte, nagu Metamask või Trustwallet, mis välistab vajaduse pilves salvestada parooli.
Kuid seni on seda meetodit standardiseeritud ainult detsentraliseeritud rakenduste jaoks. Traditsioonilistel keskserverit nõudvatel rakendustel ei ole praegu kokkulepitud standardit, kuidas sisselogimiseks krüptorahakotte kasutada.
Seotud: Facebookile määratakse kliendiandmete lekitamise eest 265 miljonit eurot trahvi
Kuid hiljutise Ethereumi täiustamise ettepaneku (EIP) eesmärk on seda olukorda parandada. Ettepaneku nimega "EIP-4361" üritatakse seda teha anda universaalne standard veebis sisselogimiseks, mis töötab nii tsentraliseeritud kui ka detsentraliseeritud rakenduste jaoks.
Kui Web3 tööstus lepib selle standardiga kokku ja seda rakendab, loodavad selle pooldajad, et lõpuks vabaneb kogu maailmaveeb paroolide sisselogimistest, välistades sellise paroolihalduri rikkumiste ohu, nagu LastPassis juhtus.
Allikas: https://cointelegraph.com/news/lastpass-attacker-stole-password-vault-data-showing-web2-s-limitations