Perkhidmatan pengurusan kata laluan LastPass telah digodam pada Ogos 2022, dan penyerang mencuri kata laluan yang disulitkan pengguna, menurut kenyataan 23 Disember daripada syarikat itu. Ini bermakna bahawa penyerang mungkin boleh memecahkan beberapa kata laluan tapak web pengguna LastPass melalui tekaan kekerasan.
Notis Insiden Keselamatan Terkini – Blog LastPass#lastpasshack #godam #laluan terakhir #infosec https://t.co/sQALfnpOTy
— Thomas Zickell (@thomaszickell) Disember 23, 2022
LastPass mula-mula mendedahkan pelanggaran itu pada Ogos 2022 tetapi pada masa itu, nampaknya penyerang hanya memperoleh kod sumber dan maklumat teknikal, bukan sebarang data pelanggan. Walau bagaimanapun, syarikat itu telah menyiasat dan mendapati bahawa penyerang menggunakan maklumat teknikal ini untuk menyerang peranti pekerja lain, yang kemudiannya digunakan untuk mendapatkan kunci kepada data pelanggan yang disimpan dalam sistem storan awan.
Akibatnya, metadata pelanggan yang tidak disulitkan telah mendedahkan kepada penyerang, termasuk "nama syarikat, nama pengguna akhir, alamat pengebilan, alamat e-mel, nombor telefon dan alamat IP dari mana pelanggan mengakses perkhidmatan LastPass."
Selain itu, beberapa peti besi yang disulitkan pelanggan telah dicuri. Bilik kebal ini mengandungi kata laluan tapak web yang disimpan oleh setiap pengguna dengan perkhidmatan LastPass. Nasib baik, peti besi disulitkan dengan Kata Laluan Induk, yang sepatutnya menghalang penyerang daripada dapat membacanya.
Kenyataan daripada LastPass menekankan bahawa perkhidmatan itu menggunakan penyulitan tercanggih untuk menyukarkan penyerang membaca fail peti besi tanpa mengetahui Kata Laluan Induk, dengan menyatakan:
“Medan yang disulitkan ini kekal terjamin dengan penyulitan AES 256-bit dan hanya boleh dinyahsulit dengan kunci penyulitan unik yang diperoleh daripada kata laluan induk setiap pengguna menggunakan seni bina Zero Knowledge kami. Sebagai peringatan, kata laluan induk tidak pernah diketahui oleh LastPass dan tidak disimpan atau diselenggara oleh LastPass.”
Walaupun begitu, LastPass mengakui bahawa jika pelanggan telah menggunakan Kata Laluan Utama yang lemah, penyerang mungkin boleh menggunakan kekerasan untuk meneka kata laluan ini, membolehkan mereka menyahsulit peti besi dan mendapatkan semua kata laluan tapak web pelanggan, seperti yang dijelaskan oleh LastPass:
“Adalah penting untuk ambil perhatian bahawa jika kata laluan induk anda tidak menggunakan [amalan terbaik yang disyorkan oleh syarikat], maka ia akan mengurangkan dengan ketara bilangan percubaan yang diperlukan untuk menekanya dengan betul. Dalam kes ini, sebagai langkah keselamatan tambahan, anda harus mempertimbangkan untuk meminimumkan risiko dengan menukar kata laluan tapak web yang telah anda simpan.”
Bolehkah penggodaman pengurus kata laluan dihapuskan dengan Web3?
Eksploitasi LastPass menggambarkan dakwaan yang telah dibuat oleh pembangun Web3 selama bertahun-tahun: bahawa sistem log masuk nama pengguna dan kata laluan tradisional perlu dimansuhkan demi log masuk dompet blockchain.
Menurut peguambela untuk log masuk dompet crypto, log masuk kata laluan tradisional pada asasnya tidak selamat kerana ia memerlukan cincang kata laluan untuk disimpan pada pelayan awan. Jika cincang ini dicuri, ia boleh dipecahkan. Di samping itu, jika pengguna bergantung pada kata laluan yang sama untuk berbilang tapak web, satu kata laluan yang dicuri boleh menyebabkan pelanggaran semua yang lain. Sebaliknya, kebanyakan pengguna tidak dapat mengingati berbilang kata laluan untuk tapak web yang berbeza.
Untuk menyelesaikan masalah ini, perkhidmatan pengurusan kata laluan seperti LastPass telah dicipta. Tetapi ini juga bergantung pada perkhidmatan awan untuk menyimpan peti besi kata laluan yang disulitkan. Jika penyerang berjaya mendapatkan peti besi kata laluan daripada perkhidmatan pengurus kata laluan, mereka mungkin boleh memecahkan peti besi dan mendapatkan semua kata laluan pengguna.
Aplikasi Web3 menyelesaikan masalah dengan cara yang berbeza. Mereka menggunakan dompet sambungan penyemak imbas seperti Metamask atau Trustwallet untuk log masuk menggunakan tandatangan kriptografi, menghapuskan keperluan untuk kata laluan disimpan dalam awan.
Tetapi setakat ini, kaedah ini hanya diseragamkan untuk aplikasi terdesentralisasi. Apl tradisional yang memerlukan pelayan pusat pada masa ini tidak mempunyai piawaian yang dipersetujui untuk cara menggunakan dompet crypto untuk log masuk.
Berkaitan: Facebook didenda 265 juta euro kerana membocorkan data pelanggan
Walau bagaimanapun, Cadangan Penambahbaikan Ethereum (EIP) baru-baru ini bertujuan untuk membetulkan keadaan ini. Dipanggil "EIP-4361," cadangan itu cuba menyediakan standard universal untuk log masuk web yang berfungsi untuk aplikasi terpusat dan terdesentralisasi.
Jika piawaian ini dipersetujui dan dilaksanakan oleh industri Web3, penyokongnya berharap bahawa seluruh web seluruh dunia akhirnya akan menyingkirkan log masuk kata laluan sama sekali, menghapuskan risiko pelanggaran pengurus kata laluan seperti yang berlaku di LastPass.
Sumber: https://cointelegraph.com/news/lastpass-attacker-stole-password-vault-data-showing-web2-s-limitations