Злоумышленник LastPass похитил данные хранилища паролей, продемонстрировав ограничения Web2″

Сервис управления паролями LastPass был взломан в августе 2022 года, и злоумышленник похитил зашифрованные пароли пользователей, говорится в заявлении компании от 23 декабря. Это означает, что злоумышленник может быть в состоянии взломать пароли некоторых веб-сайтов пользователей LastPass путем перебора.

Уведомление о недавнем инциденте безопасности — Блог LastPass#lastpasshack #hack #lastpass #infosec

— Томас Зикелл (@thomaszickell) 23 декабря 2022 г.

Компания LastPass впервые сообщила о взломе в августе 2022 года, но тогда казалось, что злоумышленник получил только исходный код и техническую информацию, а не какие-либо данные клиентов. Однако компания провела расследование и обнаружила, что злоумышленник использовал эту техническую информацию для атаки на устройство другого сотрудника, которое затем было использовано для получения ключей к данным клиентов, хранящихся в облачной системе хранения.

В результате злоумышленнику стали известны незашифрованные метаданные клиентов, включая «названия компаний, имена конечных пользователей, адреса выставления счетов, адреса электронной почты, номера телефонов и IP-адреса, с которых клиенты получали доступ к сервису LastPass».

Кроме того, были украдены зашифрованные хранилища некоторых клиентов. В этих хранилищах содержатся пароли для веб-сайтов, которые каждый пользователь хранит в сервисе LastPass. К счастью, хранилища зашифрованы мастер-паролем, что не позволит злоумышленникам их прочесть.

В заявлении LastPass подчеркивается, что сервис использует самое современное шифрование, чтобы злоумышленнику было очень сложно прочитать файлы хранилища, не зная мастер-пароля:

«Эти зашифрованные поля защищены 256-битным AES-шифрованием и могут быть расшифрованы только с помощью уникального ключа шифрования, полученного из мастер-пароля каждого пользователя с помощью нашей архитектуры Zero Knowledge». Напоминаем, что мастер-пароль никогда не известен LastPass, не хранится и не поддерживается LastPass.»

Несмотря на это, LastPass признает, что если клиент использовал слабый мастер-пароль, злоумышленник может использовать грубую силу для подбора этого пароля, что позволит ему расшифровать хранилище и получить все пароли веб-сайтов клиента, как объясняет LastPass:

«Важно отметить, что если ваш мастер-пароль не использует [лучшие практики, рекомендуемые компанией], то это значительно уменьшит количество попыток, необходимых для его правильного угадывания. В этом случае, в качестве дополнительной меры безопасности, вы должны рассмотреть возможность минимизации риска путем изменения паролей веб-сайтов, которые вы сохранили.»

Можно ли избавиться от взломов менеджеров паролей с помощью Web3?

Эксплойт LastPass иллюстрирует утверждение, которое разработчики Web3 делают уже несколько лет: традиционная система входа по имени пользователя и паролю должна быть отменена в пользу входа по кошельку блокчейн.

По мнению сторонников входа в криптокошелек, традиционные парольные логины принципиально небезопасны, поскольку требуют хранения хэшей паролей на облачных серверах. Если эти хэши будут украдены, их можно будет взломать. Кроме того, если пользователь использует один и тот же пароль для нескольких веб-сайтов, один украденный пароль может привести к взлому всех остальных. С другой стороны, большинство пользователей не могут запомнить несколько паролей для разных сайтов.

Для решения этой проблемы были придуманы сервисы управления паролями, такие как LastPass. Но они также полагаются на облачные сервисы для хранения зашифрованных хранилищ паролей. Если злоумышленнику удастся получить хранилище паролей из службы управления паролями, он сможет взломать его и получить все пароли пользователя.

Веб3-приложения решают эту проблему по-другому. Они используют кошельки расширения браузера, такие как Metamask или Trustwallet, для входа в систему с помощью криптографической подписи, что устраняет необходимость хранения пароля в облаке.

Пример страницы входа в систему криптокошелька. Источник: Blockscan Chat

Но пока что этот метод стандартизирован только для децентрализованных приложений. Традиционные приложения, которым требуется центральный сервер, в настоящее время не имеют согласованного стандарта использования криптокошельков для входа в систему.

Ссылка: Facebook (признана экстремистской организацией, деятельность которой запрещена в Российской Федерации) оштрафована на 265 млн евро за утечку данных клиентов

Но недавнее предложение по улучшению Ethereum (EIP) направлено на исправление этой ситуации. Названное «EIP-4361», это предложение пытается обеспечить универсальный стандарт для веб-логинов, который работает как для централизованных, так и для децентрализованных приложений.

Если этот стандарт будет согласован и внедрен в индустрии Web3, его сторонники надеются, что вся всемирная паутина в конечном итоге полностью избавится от логинов с паролями, устранив риск взлома менеджеров паролей, подобный тому, который произошел в LastPass.

Согласитесь, что это не так.