تم اختراق خدمة إدارة كلمات المرور LastPass في أغسطس 2022 ، وسرق المهاجم كلمات مرور المستخدمين المشفرة ، وفقًا لبيان صادر عن الشركة في 23 ديسمبر. هذا يعني أن المهاجم قد يكون قادرًا على كسر بعض كلمات مرور مواقع الويب لمستخدمي LastPass من خلال القوة الغاشمة للتخمين.
إشعار بحادث أمني حديث - مدونة LastPass#lastpasshack #hack #التمرير الأخير #أمن المعلومات https://t.co/sQALfnpOTy
- توماس زيكيل (thomaszickell) 23 كانون الأول، 2022
كشف LastPass لأول مرة عن الاختراق في أغسطس 2022 ، ولكن في ذلك الوقت ، بدا أن المهاجم قد حصل فقط على شفرة المصدر والمعلومات التقنية ، وليس أي بيانات خاصة بالعميل. ومع ذلك ، فقد حققت الشركة واكتشفت أن المهاجم استخدم هذه المعلومات التقنية لمهاجمة جهاز موظف آخر ، والذي تم استخدامه بعد ذلك للحصول على مفاتيح بيانات العميل المخزنة في نظام تخزين سحابي.
نتيجة لذلك ، كانت البيانات الوصفية للعملاء غير المشفرة كشف إلى المهاجم ، بما في ذلك "أسماء الشركات وأسماء المستخدمين النهائيين وعناوين الفواتير وعناوين البريد الإلكتروني وأرقام الهواتف وعناوين IP التي كان العملاء يصلون من خلالها إلى خدمة LastPass."
بالإضافة إلى ذلك ، سُرقت خزائن بعض العملاء المشفرة. تحتوي هذه الخزائن على كلمات مرور مواقع الويب التي يخزنها كل مستخدم مع خدمة LastPass. لحسن الحظ ، يتم تشفير الخزائن بكلمة مرور رئيسية ، مما يمنع المهاجم من القدرة على قراءتها.
يؤكد البيان من LastPass أن الخدمة تستخدم أحدث التشفير لتجعل من الصعب جدًا على المهاجم قراءة ملفات المخزن دون معرفة كلمة المرور الرئيسية ، حيث تنص على:
"تظل هذه الحقول المشفرة مؤمنة بتشفير 256 بت AES ولا يمكن فك تشفيرها إلا باستخدام مفتاح تشفير فريد مشتق من كلمة المرور الرئيسية لكل مستخدم باستخدام بنية Zero Knowledge الخاصة بنا. للتذكير ، كلمة المرور الرئيسية غير معروفة لـ LastPass ولا يتم تخزينها أو صيانتها بواسطة LastPass. "
ومع ذلك ، يعترف LastPass أنه إذا استخدم العميل كلمة مرور رئيسية ضعيفة ، فقد يتمكن المهاجم من استخدام القوة الغاشمة لتخمين كلمة المرور هذه ، مما يسمح له بفك تشفير الخزنة والحصول على جميع كلمات مرور مواقع الويب الخاصة بالعملاء ، كما يوضح LastPass:
"من المهم ملاحظة أنه إذا لم تستخدم كلمة مرورك الرئيسية [أفضل الممارسات التي توصي بها الشركة] ، فإنها ستقلل بشكل كبير من عدد المحاولات اللازمة لتخمينها بشكل صحيح. في هذه الحالة ، كإجراء أمني إضافي ، يجب أن تفكر في تقليل المخاطر عن طريق تغيير كلمات مرور مواقع الويب التي قمت بتخزينها ".
هل يمكن القضاء على الاختراقات الخاصة بإدارة كلمات المرور باستخدام Web3؟
يوضح استغلال LastPass ادعاءً قام به مطورو Web3 لسنوات: أن اسم المستخدم التقليدي وكلمة المرور يجب إلغاء نظام تسجيل الدخول لصالح عمليات تسجيل الدخول إلى محفظة blockchain.
حسب دعاة تسجيل الدخول إلى المحفظة المشفرة، تعتبر عمليات تسجيل الدخول التقليدية بكلمة المرور غير آمنة بشكل أساسي لأنها تتطلب تجزئة لكلمات المرور ليتم الاحتفاظ بها على الخوادم السحابية. إذا تمت سرقة هذه التجزئات ، فيمكن تكسيرها. بالإضافة إلى ذلك ، إذا اعتمد المستخدم على نفس كلمة المرور لمواقع ويب متعددة ، فقد تؤدي كلمة مرور واحدة مسروقة إلى اختراق جميع المواقع الأخرى. من ناحية أخرى ، لا يستطيع معظم المستخدمين تذكر كلمات مرور متعددة لمواقع الويب المختلفة.
لحل هذه المشكلة ، تم اختراع خدمات إدارة كلمات المرور مثل LastPass. ولكنها تعتمد أيضًا على الخدمات السحابية لتخزين أقبية كلمات المرور المشفرة. إذا تمكن المهاجم من الحصول على مخزن كلمات المرور من خدمة إدارة كلمات المرور ، فقد يتمكن من اختراق الخزنة والحصول على جميع كلمات مرور المستخدم.
تطبيقات Web3 تحل المشكلة بطريقة أخرى. يستخدمون محافظ ملحقات المستعرض مثل Metamask أو Trustwallet لتسجيل الدخول باستخدام توقيع مشفر ، مما يلغي الحاجة إلى تخزين كلمة مرور في السحابة.
ولكن حتى الآن ، تم توحيد هذه الطريقة فقط للتطبيقات اللامركزية. لا تحتوي التطبيقات التقليدية التي تتطلب خادمًا مركزيًا حاليًا على معيار متفق عليه لكيفية استخدام محافظ التشفير لعمليات تسجيل الدخول.
هذا الموضوع ذو علاقة بـ: تغريم فيسبوك 265 مليون يورو لتسريب بيانات العملاء
ومع ذلك ، يهدف اقتراح تحسين Ethereum (EIP) الأخير إلى علاج هذا الموقف. يسمى "EIP-4361" ، يحاول الاقتراح القيام بذلك تزود معيار عالمي لعمليات تسجيل الدخول إلى الويب يعمل مع كل من التطبيقات المركزية واللامركزية.
إذا تم الاتفاق على هذا المعيار وتنفيذه من قبل صناعة Web3 ، فإن مؤيديه يأملون أن تتخلص شبكة الويب العالمية بأكملها في النهاية من عمليات تسجيل الدخول إلى كلمة المرور تمامًا ، مما يقضي على مخاطر انتهاكات إدارة كلمات المرور مثل تلك التي حدثت في LastPass.
المصدر: https://cointelegraph.com/news/lastpass-attacker-stole-password-vault-data-showing-web2-s-limitations