Salasanojen hallintapalvelu LastPass hakkeroitiin elokuussa 2022, ja hyökkääjä varasti käyttäjien salatut salasanat yrityksen 23. joulukuuta antaman lausunnon mukaan. Tämä tarkoittaa, että hyökkääjä saattaa pystyä murtamaan joitakin LastPass-käyttäjien verkkosivustojen salasanoja raa'alla voimalla arvaamalla.
Ilmoitus viimeaikaisesta tietoturvatapahtumasta – LastPass-blogi#lastpasshack #hakata #viimeinen passi #infosec https://t.co/sQALfnpOTy
- Thomas Zickell (@thomaszickell) Joulukuu 23, 2022
LastPass paljasti tietomurron ensimmäisen kerran elokuussa 2022, mutta tuolloin näytti siltä, että hyökkääjä oli saanut vain lähdekoodia ja teknisiä tietoja, ei mitään asiakastietoja. Yritys on kuitenkin tutkinut ja havainnut, että hyökkääjä käytti näitä teknisiä tietoja hyökätäkseen toisen työntekijän laitteeseen, jota käytettiin sitten avaimien hankkimiseen pilvitallennusjärjestelmään tallennettuihin asiakastietoihin.
Tämän seurauksena salaamaton asiakkaiden metadata on ollut paljasti hyökkääjälle, mukaan lukien "yritysten nimet, loppukäyttäjien nimet, laskutusosoitteet, sähköpostiosoitteet, puhelinnumerot ja IP-osoitteet, joista asiakkaat käyttivät LastPass-palvelua".
Lisäksi joidenkin asiakkaiden salattuja holveja varastettiin. Nämä varastot sisältävät verkkosivustojen salasanat, jotka kukin käyttäjä tallentaa LastPass-palveluun. Onneksi varastot on salattu pääsalasanalla, jonka pitäisi estää hyökkääjää lukemasta niitä.
LastPassin lausunnossa korostetaan, että palvelu käyttää uusinta salausta, mikä tekee hyökkääjän erittäin vaikeaksi lukea varastotiedostoja tuntematta pääsalasanaa.
"Nämä salatut kentät pysyvät suojattuina 256-bittisellä AES-salauksella, ja ne voidaan purkaa vain ainutlaatuisella salausavaimella, joka on johdettu kunkin käyttäjän pääsalasanoista käyttämällä Zero Knowledge -arkkitehtuuriamme. Muista, että LastPass ei koskaan tiedä pääsalasanaa, eikä LastPass tallenna tai ylläpidä sitä."
Silti LastPass myöntää, että jos asiakas on käyttänyt heikkoa pääsalasanaa, hyökkääjä saattaa pystyä arvaamaan tämän salasanan raa'alla voimalla, jolloin he voivat purkaa holvin salauksen ja saada kaikki asiakkaiden verkkosivustojen salasanat, kuten LastPass selittää:
"On tärkeää huomata, että jos pääsalasanasi ei hyödynnä [yrityksen suosittelemia parhaita käytäntöjä], se vähentäisi merkittävästi sen oikein arvaamiseen tarvittavien yritysten määrää. Tässä tapauksessa ylimääräisenä turvatoimenpiteenä kannattaa harkita riskin minimoimista vaihtamalla tallentamamiesi verkkosivustojen salasanat."
Voidaanko Web3:lla poistaa salasananhallinnan hakkerit?
LastPass-hyödyntäminen havainnollistaa Web3-kehittäjien vuosia esittämää väitettä: perinteinen käyttäjätunnus- ja salasanakirjautumisjärjestelmä on hylättävä lohkoketjun lompakkokirjautumisten hyväksi.
Kannattajien mukaan kryptolompakkoon kirjautuminen, perinteiset salasanakirjautumiset ovat pohjimmiltaan epävarmoja, koska ne edellyttävät salasanojen hajautusten säilyttämistä pilvipalvelimilla. Jos nämä tiivisteet varastetaan, ne voidaan murtaa. Lisäksi, jos käyttäjä käyttää samaa salasanaa useilla verkkosivustoilla, yksi varastettu salasana voi johtaa kaikkien muiden salasanojen rikkomiseen. Toisaalta useimmat käyttäjät eivät muista useita salasanoja eri verkkosivustoille.
Tämän ongelman ratkaisemiseksi on keksitty salasanojen hallintapalveluita, kuten LastPass. Mutta nämä luottavat myös pilvipalveluihin salattujen salasanavarastojen tallentamiseen. Jos hyökkääjä onnistuu saamaan salasanavaraston salasananhallintapalvelusta, hän saattaa pystyä murtamaan varaston ja hankkimaan kaikki käyttäjän salasanat.
Web3-sovellukset ratkaisevat ongelman toisella tavalla. He käyttävät selainlaajennuslompakkoja, kuten Metamask tai Trustwallet, kirjautuakseen sisään käyttämällä kryptografista allekirjoitusta, mikä eliminoi pilveen tallennettavan salasanan tarpeen.
Mutta toistaiseksi tämä menetelmä on standardoitu vain hajautetuille sovelluksille. Perinteisillä sovelluksilla, jotka vaativat keskuspalvelimen, ei tällä hetkellä ole sovittua standardia kryptolompakoiden käyttöön kirjautumiseen.
Related: Facebook on saanut 265 miljoonan euron sakon asiakastietojen vuotamisesta
Äskettäinen Ethereum Improvement Proposal (EIP) -ehdotus pyrkii kuitenkin korjaamaan tämän tilanteen. "EIP-4361"-niminen ehdotus yrittää toimittaa yleinen standardi verkkokirjautumisille, joka toimii sekä keskitetyissä että hajautetuissa sovelluksissa.
Jos Web3-teollisuus hyväksyy tämän standardin ja ottaa sen käyttöön, sen kannattajat toivovat, että koko maailmanlaajuinen verkko päästää lopulta kokonaan eroon salasanojen kirjautumisista, mikä eliminoi salasananhallintarikkomusten riskin, kuten LastPassissa tapahtuneen.
Lähde: https://cointelegraph.com/news/lastpass-attacker-stole-password-vault-data-showing-web2-s-limitations