LastPass attacker stole password vault knowledge, displaying Web2’s limitations

LastPass attacker stole password vault knowledge, displaying Web2's limitations


kasino728x90

Layanan administrasi kata sandi LastPass diretas pada Agustus 2022, dan penyerang mencuri kata sandi terenkripsi pelanggan, berdasarkan pernyataan 23 Desember dari perusahaan. Karena itu, penyerang mungkin dapat memecahkan beberapa kata sandi situs web pelanggan LastPass dengan cara menebak dengan kasar.

Temukan Insiden Keselamatan Saat Ini – Weblog LastPass#lastpasshack #hack #lastpass #infosec https://t.co/sQALfnpOTy

— Thomas Zickell (@thomaszickell) 23 Desember 2022

LastPass pertama kali mengungkapkan pelanggaran tersebut pada Agustus 2022 tetapi saat ini, tampaknya penyerang hanya memperoleh kode sumber dan data teknis, bukan pengetahuan pembeli. Namun demikian, perusahaan telah menyelidiki dan menemukan bahwa penyerang menggunakan data teknis ini untuk menyerang sistem pekerja lain, yang kemudian digunakan untuk mendapatkan kunci data pembeli yang disimpan dalam sistem penyimpanan cloud.

Karena itu, metadata pembeli yang tidak terenkripsi telah diungkapkan kepada penyerang, bersama dengan “nama perusahaan, nama pengguna akhir, alamat penagihan, alamat email, nomor telepon, dan alamat IP dari prospek yang telah mengakses layanan LastPass. ”

Selain itu, brankas terenkripsi beberapa prospek telah dicuri. Kubah ini menyertakan kata sandi situs web yang dibeli setiap orang dengan layanan LastPass. Untungnya, brankas dienkripsi dengan Kata Sandi Pegang, yang seharusnya mencegah penyerang agar tidak dapat mempelajarinya.

Penegasan dari LastPass menekankan bahwa layanan menggunakan enkripsi canggih untuk mempersulit penyerang untuk membaca data brankas tanpa mengetahui Kata Sandi Pegang, dengan menyatakan:

“Bidang terenkripsi ini tetap diamankan dengan enkripsi AES 256-bit dan hanya dapat didekripsi dengan kunci enkripsi tunggal yang berasal dari kata sandi master semua orang menggunakan struktur Zero Data kami. Sebagai pengingat, kata sandi master tidak diidentifikasi ke LastPass dan tidak disimpan atau dikelola oleh LastPass.”

Meski begitu, LastPass mengakui bahwa jika pembeli telah menggunakan Kata Sandi Pegang yang lemah, penyerang mungkin dapat menggunakan kekuatan kasar untuk menebak kata sandi ini, memungkinkan mereka untuk mendekripsi brankas dan mendapatkan kata sandi situs web seluruh prospek, seperti yang dijelaskan LastPass:

“Anda harus menyadari bahwa jika kata sandi utama Anda tidak menggunakan [best practices the company recommends], maka itu bisa sangat mengurangi jumlah upaya yang diperlukan untuk menebaknya dengan tepat. Dalam hal ini, sebagai tindakan keamanan tambahan, sebaiknya pikirkan tentang meminimalkan ancaman dengan mengubah kata sandi situs internet yang telah Anda simpan.”

Bisakah peretasan pengawas kata sandi diberantas dengan Web3?

Eksploitasi LastPass mengilustrasikan pernyataan yang telah dibuat oleh pembuat Web3 selama bertahun-tahun: bahwa sistem login nama pengguna dan kata sandi standar harus dihapus demi login kantong blockchain.

Menurut pendukung untuk login kantong crypto, login kata sandi konvensional pada dasarnya tidak aman karena membutuhkan hash kata sandi untuk disimpan di server cloud. Jika hash ini dicuri, mereka sering diretas. Selain itu, jika seseorang bergantung pada kata sandi yang sama untuk beberapa situs web, satu kata sandi yang dicuri dapat mengakibatkan pelanggaran terhadap yang lainnya. Di sisi lain, sebagian besar pengguna tidak dapat mengingat beberapa kata sandi untuk berbagai situs web.

Untuk mengungkap kelemahan ini, penyedia administrasi kata sandi seperti LastPass telah ditemukan. Tetapi ini juga bergantung pada penyedia cloud untuk menyimpan brankas kata sandi terenkripsi. Jika penyerang berhasil mendapatkan brankas kata sandi dari layanan pengawas kata sandi, mereka dapat memecahkan brankas dan mendapatkan kata sandi seluruh orang.

Tujuan Web3 memperbaiki masalah ini dengan cara lain. Mereka menggunakan dompet ekstensi peramban seperti Metamask atau Trustwallet untuk mendaftar menggunakan tanda tangan kriptografis, menghilangkan keharusan menyimpan kata sandi di dalam awan.

Sebuah contoh dari halaman web login crypto pockets. Pasokan: Blockscan Obrolan

Namun sampai saat ini, teknik ini hanya distandarisasi untuk tujuan desentralisasi. Aplikasi konvensional yang memerlukan server pusat saat ini belum memiliki standar yang disepakati untuk cara menggunakan dompet crypto untuk login.

Terkait: Fb didenda 265 juta euro karena membocorkan pengetahuan pembeli

Namun demikian, Proposal Peningkatan Ethereum (EIP) terbaru bertujuan untuk menangani kasus ini. Disebut sebagai “EIP-4361,” proposal mencoba untuk memberikan standar umum untuk login internet yang berfungsi untuk tujuan terpusat dan terdesentralisasi.

Jika kebiasaan ini disetujui dan diterapkan oleh perusahaan Web3, para pendukungnya berharap seluruh dunia internet luas pada akhirnya akan menghapus login kata sandi sama sekali, menghilangkan kemungkinan pelanggaran pengelola kata sandi seperti yang terjadi di LastPass.

Author: Jesse Bennett