Злоумышленник LastPass украл данные хранилища паролей, демонстрируя ограничения Web2

Согласно заявлению компании от 23 декабря, служба управления паролями LastPass была взломана в августе 2022 года, и злоумышленник украл зашифрованные пароли пользователей. Это означает, что злоумышленник может взломать некоторые пароли веб-сайтов пользователей LastPass путем угадывания методом грубой силы.

https://platform.twitter.com/widgets.js

LastPass впервые сообщил об уязвимости в августе 2022 года, но в то время казалось, что злоумышленник получил только исходный код и техническую информацию, а не какие-либо данные о клиентах. Однако компания провела расследование и обнаружила, что злоумышленник использовал эту техническую информацию для атаки на устройство другого сотрудника, которое затем использовалось для получения ключей к данным клиентов, хранящимся в облачной системе хранения.

В результате злоумышленнику были раскрыты незашифрованные метаданные клиентов, в том числе «названия компаний, имена конечных пользователей, платежные адреса, адреса электронной почты, номера телефонов и IP-адреса, с которых клиенты получали доступ к службе LastPass».

Кроме того, были украдены зашифрованные хранилища некоторых клиентов. Эти хранилища содержат пароли веб-сайтов, которые каждый пользователь хранит в службе LastPass. К счастью, хранилища зашифрованы мастер-паролем, который не позволит злоумышленнику прочитать их.

В заявлении LastPass подчеркивается, что служба использует современное шифрование, чтобы злоумышленнику было очень трудно читать файлы хранилища, не зная мастер-пароля, и говорится:

«Эти зашифрованные поля остаются защищенными с помощью 256-битного шифрования AES и могут быть расшифрованы только с помощью уникального ключа шифрования, полученного из мастер-пароля каждого пользователя с использованием нашей архитектуры с нулевым разглашением. Напоминаем, что мастер-пароль никогда не известен LastPass, он не хранит и не поддерживает его».

Несмотря на это, LastPass признает, что если клиент использовал слабый мастер-пароль, злоумышленник может использовать грубую силу, чтобы угадать этот пароль, что позволит ему расшифровать хранилище и получить все пароли веб-сайтов клиентов, как поясняет LastPass:

«Важно отметить, что если ваш мастер-пароль не использует [лучшие методы, которые рекомендует компания], это значительно сократит количество попыток, необходимых для его правильного угадывания. В этом случае в качестве дополнительной меры безопасности вам следует рассмотреть возможность минимизации риска путем изменения паролей сохраненных вами веб-сайтов».

Можно ли с помощью Web3 устранить взломы менеджера паролей?

Эксплойт LastPass иллюстрирует утверждение, которое разработчики Web3 делали годами: от традиционной системы входа в систему с использованием имени пользователя и пароля необходимо отказаться в пользу входа в систему через блокчейн-кошелек.

По словам сторонников входа в криптовалютный кошелек, традиционные входы с паролями принципиально небезопасны, поскольку требуют хранения хэшей паролей на облачных серверах. Если эти хэши будут украдены, их можно будет взломать. Кроме того, если пользователь использует один и тот же пароль для нескольких веб-сайтов, один украденный пароль может привести к взлому всех остальных. С другой стороны, большинство пользователей не могут запомнить несколько паролей для разных веб-сайтов.

Чтобы решить эту проблему, были придуманы службы управления паролями, такие как LastPass. Но они также полагаются на облачные сервисы для хранения зашифрованных хранилищ паролей. Если злоумышленнику удастся получить хранилище паролей из службы диспетчера паролей, он может взломать хранилище и получить все пароли пользователя.

Приложения Web3 решают проблему по-другому. Они используют кошельки расширения браузера, такие как Metamask или Trustwallet, для входа в систему с использованием криптографической подписи, что устраняет необходимость хранения пароля в облаке.

Но пока этот метод стандартизирован только для децентрализованных приложений. Традиционные приложения, которым требуется центральный сервер, в настоящее время не имеют согласованного стандарта использования криптовалютных кошельков для входа в систему.

По теме: Facebook оштрафован на 265 миллионов евро за утечку данных клиентов

Однако недавнее Предложение по улучшению Ethereum (EIP) направлено на исправление этой ситуации. Предложение, получившее название «EIP-4361», пытается предоставить универсальный стандарт для веб-входа в систему, который работает как для централизованных, так и для децентрализованных приложений.

Если этот стандарт будет согласован и реализован индустрией Web3, его сторонники надеются, что вся всемирная паутина в конечном итоге полностью избавится от логинов с паролями, что устранит риск взлома менеджера паролей, подобного тому, который произошел в LastPass.