LastPass-ის თავდამსხმელმა მოიპარა პაროლის სარდაფის მონაცემები, რაც აჩვენებს Web2-ის შეზღუდვებს

პაროლის მართვის სერვისი LastPass გატეხეს 2022 წლის აგვისტოში და თავდამსხმელმა მოიპარა მომხმარებლების დაშიფრული პაროლები, ნათქვამია კომპანიის 23 დეკემბრის განცხადებაში. ეს ნიშნავს, რომ თავდამსხმელმა შესაძლოა შეძლოს LastPass-ის მომხმარებლების ვებსაიტების ზოგიერთი პაროლის გატეხვა უხეში ძალის გამოცნობის გზით.

შეტყობინება უსაფრთხოების ბოლო ინციდენტის შესახებ – LastPass ბლოგი#უკანასკნელი გადასასვლელი #გატეხვა #ბოლოგასასვლელი # ინფოსეკი https://t.co/sQALfnpOTy
- თომას ზიკელი (@thomaszickell) დეკემბერი 23, 2022

LastPass-მა პირველად გამოავლინა დარღვევა 2022 წლის აგვისტოში, მაგრამ იმ დროს, როგორც ჩანს, თავდამსხმელმა მოიპოვა მხოლოდ წყაროს კოდი და ტექნიკური ინფორმაცია და არა მომხმარებლის მონაცემები. თუმცა, კომპანიამ გამოიკვლია და აღმოაჩინა, რომ თავდამსხმელმა გამოიყენა ეს ტექნიკური ინფორმაცია სხვა თანამშრომლის მოწყობილობაზე თავდასხმისთვის, რომელიც შემდეგ გამოიყენებოდა ღრუბლოვანი შენახვის სისტემაში შენახული კლიენტების მონაცემების გასაღებების მისაღებად.

შედეგად, დაშიფრული მომხმარებლის მეტამონაცემები იყო გამოვლინდა თავდამსხმელს, მათ შორის „კომპანიის სახელები, საბოლოო მომხმარებლის სახელები, ბილინგის მისამართები, ელ.ფოსტის მისამართები, ტელეფონის ნომრები და IP მისამართები, საიდანაც მომხმარებლები წვდნენ LastPass სერვისს“.

გარდა ამისა, მოიპარეს ზოგიერთი მომხმარებლის დაშიფრული სარდაფი. ეს სარდაფები შეიცავს ვებსაიტის პაროლებს, რომლებსაც თითოეული მომხმარებელი ინახავს LastPass სერვისით. საბედნიეროდ, სარდაფები დაშიფრულია ძირითადი პაროლით, რაც თავდამსხმელს არ შეუძლია მათი წაკითხვა.

LastPass-ის განცხადებაში ხაზგასმულია, რომ სერვისი იყენებს უახლესი ტექნოლოგიის დაშიფვრას, რათა თავდამსხმელს გაუადვილოს საცავის ფაილების წაკითხვა სამაგისტრო პაროლის ცოდნის გარეშე, სადაც ნათქვამია:

„ეს დაშიფრული ველები დაცულია 256-ბიტიანი AES დაშიფვრით და მათი გაშიფვრა შესაძლებელია მხოლოდ დაშიფვრის უნიკალური გასაღებით, რომელიც მიღებულია თითოეული მომხმარებლის ძირითადი პაროლიდან ჩვენი ნულოვანი ცოდნის არქიტექტურის გამოყენებით. შეგახსენებთ, რომ მთავარი პაროლი არასოდეს არის ცნობილი LastPass-ისთვის და არ არის შენახული ან შენახული LastPass-ის მიერ.

მიუხედავად ამისა, LastPass აღიარებს, რომ თუ მომხმარებელმა გამოიყენა სუსტი სამაგისტრო პაროლი, თავდამსხმელს შეუძლია გამოიყენოს უხეში ძალის გამოყენება ამ პაროლის გამოსაცნობად, რაც მათ საშუალებას მისცემს გაშიფრონ სარდაფი და მოიპოვონ მომხმარებლების ვებსაიტების ყველა პაროლი, როგორც LastPass განმარტავს:

„მნიშვნელოვანია აღინიშნოს, რომ თუ თქვენი ძირითადი პაროლი არ გამოიყენებს [საუკეთესო პრაქტიკას, რომელსაც კომპანია გირჩევთ], მაშინ ეს მნიშვნელოვნად შეამცირებს მცდელობების რაოდენობას, რომელიც საჭიროა მისი სწორად გამოსაცნობად. ამ შემთხვევაში, უსაფრთხოების დამატებით ზომად, თქვენ უნდა გაითვალისწინოთ რისკის მინიმუმამდე შემცირება თქვენ მიერ შენახული ვებსაიტების პაროლების შეცვლით.

შეიძლება თუ არა პაროლის მენეჯერის ჰაკის აღმოფხვრა Web3-ით?

LastPass-ის ექსპლოიტი ასახავს პრეტენზიას, რომელსაც Web3-ის დეველოპერები წლების განმავლობაში აკეთებდნენ: რომ მომხმარებლის სახელისა და პაროლის შესვლის ტრადიციული სისტემა უნდა გაუქმდეს ბლოკჩეინ საფულეში შესვლის სასარგებლოდ.

ადვოკატთა აზრით კრიპტო საფულის შესვლა, პაროლის ტრადიციული შესვლა ფუნდამენტურად დაუცველია, რადგან ისინი საჭიროებენ პაროლების ჰეშებს ღრუბლოვან სერვერებზე შესანახად. თუ ეს ჰეშები მოიპარეს, შეიძლება მათი გატეხვა. გარდა ამისა, თუ მომხმარებელი ეყრდნობა ერთსა და იმავე პაროლს რამდენიმე ვებსაიტისთვის, ერთმა მოპარულმა პაროლმა შეიძლება გამოიწვიოს ყველა დანარჩენის დარღვევა. მეორეს მხრივ, მომხმარებელთა უმეტესობას არ შეუძლია ახსოვდეს მრავალი პაროლი სხვადასხვა ვებსაიტისთვის.

ამ პრობლემის გადასაჭრელად, გამოიგონეს პაროლის მართვის სერვისები, როგორიცაა LastPass. მაგრამ ეს ასევე ეყრდნობა ღრუბლოვან სერვისებს დაშიფრული პაროლის საცავების შესანახად. თუ თავდამსხმელი ახერხებს პაროლის საცავი მოიპოვოს პაროლის მენეჯერის სერვისიდან, მას შეუძლია გატეხოს საცავი და მიიღოს მომხმარებლის ყველა პაროლი.

Web3 აპლიკაციები წყვეტს პრობლემას სხვაგვარად. ისინი იყენებენ ბრაუზერის გაფართოების საფულეებს, როგორიცაა Metamask ან Trustwallet, რათა შევიდნენ კრიპტოგრაფიული ხელმოწერის გამოყენებით, რაც გამორიცხავს ღრუბელში პაროლის შესანახად საჭიროებას.

*კრიპტო საფულის შესვლის გვერდის მაგალითი. წყარო: Blockscan Chat*

მაგრამ ჯერჯერობით, ეს მეთოდი სტანდარტიზებულია მხოლოდ დეცენტრალიზებული აპლიკაციებისთვის. ტრადიციულ აპებს, რომლებიც საჭიროებენ ცენტრალურ სერვერს, ამჟამად არ აქვთ შეთანხმებული სტანდარტი, თუ როგორ გამოიყენოთ კრიპტო საფულეები შესვლისთვის.

ამავე თემაზე: ფეისბუქი 265 მილიონი ევროთი დაჯარიმდა მომხმარებლის მონაცემების გაჟონვისთვის

თუმცა, ბოლოდროინდელი Ethereum გაუმჯობესების წინადადება (EIP) მიზნად ისახავს ამ სიტუაციის გამოსწორებას. "EIP-4361" წოდებული წინადადება ცდილობს უზრუნველყოფს უნივერსალური სტანდარტი ვებ შესვლებისთვის, რომელიც მუშაობს როგორც ცენტრალიზებულ, ისე დეცენტრალიზებულ აპლიკაციებზე.

თუ ეს სტანდარტი შეთანხმდება და განხორციელდება Web3 ინდუსტრიის მიერ, მისი მომხრეები იმედოვნებენ, რომ მთელი მსოფლიო ქსელი საბოლოოდ მოიშორებს პაროლის შესვლას, რაც გამორიცხავს პაროლის მენეჯერის დარღვევის რისკს, როგორიც მოხდა LastPass-ზე.