Сырсөздөрдү башкаруу кызматы LastPass 2022-жылдын августунда хакердик чабуулга кабылып, чабуулчу колдонуучулардын шифрленген сырсөздөрүн уурдап кеткен, деп айтылат компаниянын 23-декабрдагы билдирүүсүндө. Бул чабуулчу одоно күч менен болжолдоо аркылуу LastPass колдонуучуларынын айрым веб-сайт сырсөздөрүн бузуп алышы мүмкүн дегенди билдирет.
Акыркы коопсуздук окуясы жөнүндө эскертүү - LastPass блогу#акыркы өтмөк #hacks #акыркыжол #infosec https://t.co/sQALfnpOTy
— Томас Зикелл (@thomaszickell) December 23, 2022
LastPass биринчи жолу бузууну 2022-жылдын августунда ачыкка чыгарган, бирок ошол учурда чабуулчу кардарлардын маалыматын эмес, баштапкы кодду жана техникалык маалыматты гана алган окшойт. Бирок компания чабуулчу бул техникалык маалыматты башка кызматкердин аппаратына чабуул жасоо үчүн колдонгонун, андан кийин булуттагы сактоо тутумунда сакталган кардар маалыматтарынын ачкычтарын алуу үчүн колдонулганын иликтеп, аныктаган.
Натыйжада, шифрленбеген кардар метадайындары болуп калды аныкталган чабуулчуга, анын ичинде "компаниянын аттары, акыркы колдонуучунун аттары, эсеп-кысап даректери, электрондук почта даректери, телефон номерлери жана кардарлар LastPass кызматына кире турган IP даректер."
Мындан тышкары, кээ бир кардарлардын шифрленген сейфтери уурдалган. Бул сактагычтар ар бир колдонуучу LastPass кызматы менен сактаган веб-сайттын сырсөздөрүн камтыйт. Бактыга жараша, сейфтер Мастер сырсөз менен шифрленген, ал чабуулчуга аларды окуй албайт.
LastPass билдирүүсүндө бул кызмат чабуулчуга башкы сырсөздү билбестен сактагыч файлдарын окууну абдан кыйындатуу үчүн заманбап шифрлөөнү колдонот деп баса белгиленет:
“Бул шифрленген талаалар 256 биттик AES шифрлөө менен корголгон жана биздин Zero Knowledge архитектурасынын жардамы менен ар бир колдонуучунун башкы сырсөзүнөн алынган уникалдуу шифрлөө ачкычы менен гана чечмелениши мүмкүн. Эске сала кетсек, башкы сырсөз LastPassка эч качан белгилүү эмес жана LastPass тарабынан сакталбайт же сакталбайт.
Ошентсе да, LastPass мойнуна алат, эгерде кардар алсыз Мастер сырсөзүн колдонгон болсо, чабуулчу бул сырсөздү табуу үчүн орой күч колдонушу мүмкүн, бул аларга сактагычтын шифрин чечмелеп, кардарлардын веб-сайтынын бардык сырсөздөрүн алууга мүмкүндүк берет, LastPass түшүндүргөндөй:
«Эгерде сиздин башкы сырсөзүңүз [компания сунуш кылган эң мыкты тажрыйбаларды] колдонбосо, анда аны туура аныктоо үчүн зарыл болгон аракеттердин санын бир топ кыскартаарын белгилей кетүү маанилүү. Бул учурда, кошумча коопсуздук чарасы катары, сиз сактаган веб-сайттардын сырсөздөрүн өзгөртүү менен тобокелдиктерди азайтуу маселесин карашыңыз керек.
Сырсөз башкаргычтын хакерлерин Web3 менен жок кылса болобу?
LastPass эксплуатациясы Web3 иштеп чыгуучулары бир нече жылдардан бери жасап келе жаткан дооматты көрсөтөт: салттуу колдонуучу аты жана сырсөз кирүү тутумун блокчейн капчыгына логиндердин пайдасына жокко чыгаруу керек.
жактоочуларынын айтымында крипто капчык кирүү, салттуу сырсөз логиндери негизи кооптуу, анткени алар сырсөздөрдүн хэштерин булут серверлеринде сактоону талап кылат. Бул хэштер уурдалган болсо, алар жарака болот. Мындан тышкары, эгерде колдонуучу бир нече веб-сайттар үчүн бир эле сырсөзгө таянса, бир уурдалган сырсөз бардык башкалардын бузулушуна алып келиши мүмкүн. Башка жагынан алганда, көпчүлүк колдонуучулар ар кандай веб-сайттар үчүн бир нече сырсөздөрдү эстей алышпайт.
Бул көйгөйдү чечүү үчүн LastPass сыяктуу сырсөздү башкаруу кызматтары ойлоп табылган. Бирок алар шифрленген сырсөз сактагычтарды сактоо үчүн булут кызматтарына да таянышат. Эгер чабуулчу сырсөз башкаргыч кызматынан сырсөз сактагычын алууга үлгүрсө, алар сактагычты бузуп, колдонуучунун бардык сырсөздөрүн ала алышы мүмкүн.
Web3 тиркемелери көйгөйдү чечет башкача жол менен. Алар криптографиялык кол тамганы колдонуу менен кирүү үчүн Metamask же Trustwallet сыяктуу серепчи кеңейтүү капчыктарын колдонушат, булутта сакталган сырсөзгө болгон муктаждыкты жокко чыгарышат.
Бирок азырынча бул ыкма борбордон ажыратылган колдонмолор үчүн гана стандартташтырылган. Борбордук серверди талап кылган салттуу колдонмолор учурда логин үчүн крипто капчыктарды кантип колдонуу керектиги боюнча макулдашылган стандартка ээ эмес.
байланыштуу: Facebook кардарларынын маалыматтарын ачыкка чыгарганы үчүн 265 миллион евро айыпка жыгылды
Бирок, акыркы Ethereum жакшыртуу сунушу (EIP) бул жагдайды оңдоого багытталган. "EIP-4361" деп аталган сунуш аракет кылат камсыз кылуу борборлоштурулган жана борборлоштурулган колдонмолор үчүн иштеген веб-логиндердин универсалдуу стандарты.
Эгерде бул стандарт Web3 индустриясы тарабынан макулдашылып, ишке ашырылса, анын жактоочулары бүткүл дүйнөлүк желе акыры пароль логининен биротоло арылат деп үмүттөнүшөт, бул LastPass'та болуп өткөндөй сырсөз менеджеринин бузулуу коркунучун жок кылат.
Булак: https://cointelegraph.com/news/lastpass-attacker-stole-password-vault-data-showing-web2-s-limitions