A cég december 2022-i közleménye szerint a LastPass jelszókezelő szolgáltatást 23 augusztusában törték fel, és a támadó ellopta a felhasználók titkosított jelszavait. Ez azt jelenti, hogy a támadó feltörheti a LastPass-felhasználók egyes webhely-jelszavait nyers erőszakos találgatások révén.
Értesítés a legutóbbi biztonsági incidensről – A LastPass blog#lastpasshack #csapkod #lastpass #infosec https://t.co/sQALfnpOTy
– Thomas Zickell (@thomaszickell) December 23, 2022
A LastPass először 2022 augusztusában hozta nyilvánosságra a jogsértést, de akkor úgy tűnt, hogy a támadó csak forráskódot és technikai információkat szerzett meg, ügyféladatokat nem. A cég azonban megvizsgálta, és felfedezte, hogy a támadó ezeket a technikai információkat egy másik alkalmazott eszközének megtámadására használta fel, amelyet aztán a felhőalapú tárolórendszerben tárolt ügyféladatokhoz rendelt kulcsok megszerzésére használtak.
Ennek eredményeként az ügyfelek titkosítatlan metaadatai lettek kiderült a támadónak, beleértve a „cégneveket, végfelhasználói neveket, számlázási címeket, e-mail címeket, telefonszámokat és azokat az IP-címeket, amelyekről az ügyfelek hozzáfértek a LastPass szolgáltatáshoz”.
Ezenkívül néhány ügyfél titkosított páncéltermét ellopták. Ezek a tárolók a webhelyjelszavakat tartalmazzák, amelyeket az egyes felhasználók a LastPass szolgáltatásban tárolnak. Szerencsére a tárolók mesterjelszóval vannak titkosítva, ami megakadályozza, hogy a támadó elolvashassa őket.
A LastPass nyilatkozata hangsúlyozza, hogy a szolgáltatás a legmodernebb titkosítást használja, hogy a támadó nagyon megnehezítse a tárolófájlok olvasását anélkül, hogy ismerné a fő jelszót.
„Ezek a titkosított mezők 256 bites AES titkosítással védettek maradnak, és csak egyedi titkosítási kulccsal dekódolhatók, amely az egyes felhasználók fő jelszavából származik a Zero Knowledge architektúránk segítségével. Emlékeztetőül: a fő jelszót soha nem ismeri a LastPass, és a LastPass nem tárolja és nem karbantartja."
Ennek ellenére a LastPass elismeri, hogy ha egy ügyfél gyenge mesterjelszót használt, a támadó képes lehet nyers erővel kitalálni ezt a jelszót, lehetővé téve számára a tároló visszafejtését és az ügyfelek webhelyeinek összes jelszavának megszerzését, ahogy a LastPass elmagyarázza:
„Fontos megjegyezni, hogy ha a főjelszó nem használja a [vállalat által javasolt legjobb gyakorlatokat], akkor jelentősen csökkentené a helyes kitalálásához szükséges próbálkozások számát. Ebben az esetben extra biztonsági intézkedésként érdemes megfontolni a kockázat minimalizálását a tárolt webhelyek jelszavának megváltoztatásával.”
Kiküszöbölhetők a jelszókezelő feltörések a Web3 segítségével?
A LastPass exploit azt az állítást illusztrálja, amelyet a Web3 fejlesztői évek óta hangoztatnak: a hagyományos felhasználónév- és jelszóbejelentkezési rendszert le kell vetni a blockchain pénztárca bejelentkezés javára.
A szószólók szerint kriptotárca bejelentkezés, a hagyományos jelszavas bejelentkezés alapvetően nem biztonságos, mert megköveteli a jelszavak kivonatát a felhőkiszolgálókon. Ha ezeket a hash-eket ellopják, feltörhetik őket. Ezenkívül, ha egy felhasználó ugyanazt a jelszót használja több webhelyen, egy ellopott jelszó az összes többi jelszó megsértéséhez vezethet. Másrészt a legtöbb felhasználó nem emlékszik több jelszóra a különböző webhelyekhez.
A probléma megoldására olyan jelszókezelő szolgáltatásokat találtak ki, mint a LastPass. De ezek a felhőszolgáltatásokra is támaszkodnak a titkosított jelszótárolók tárolására. Ha egy támadónak sikerül megszereznie a jelszótárolót a jelszókezelő szolgáltatásból, akkor feltörheti a tárolót, és megszerezheti a felhasználó összes jelszavát.
A web3 alkalmazások megoldják a problémát Másképp. Böngészőbővítményes pénztárcákat használnak, mint például a Metamask vagy a Trustwallet, hogy kriptográfiai aláírással jelentkezzenek be, így nincs szükség jelszóra a felhőben.
De ez a módszer eddig csak decentralizált alkalmazásokhoz volt szabványosítva. A központi szervert igénylő hagyományos alkalmazásoknak jelenleg nincs elfogadott szabványa a kriptotárca bejelentkezési használatára vonatkozóan.
Kapcsolódó: A Facebookot 265 millió euróra büntették ügyféladatok kiszivárogtatása miatt
Egy közelmúltbeli Ethereum Improvement Proposal (EIP) azonban ezt a helyzetet kívánja orvosolni. Az „EIP-4361” nevű javaslat arra tesz kísérletet ad egy univerzális szabvány a webes bejelentkezésekhez, amely központi és decentralizált alkalmazásokhoz egyaránt használható.
Ha ezt a szabványt elfogadja és bevezeti a Web3 iparága, támogatói abban reménykednek, hogy az egész világháló végül teljesen megszabadul a jelszavas bejelentkezésektől, kiküszöbölve a jelszókezelői jogsértések kockázatát, mint amilyen a LastPassnál történt.
Forrás: https://cointelegraph.com/news/lastpass-attacker-stole-password-vault-data-showing-web2-s-limitations