Il servizio di gestione delle password LastPass è stato violato nell'agosto 2022 e l'attaccante ha rubato le password crittografate degli utenti, secondo una dichiarazione del 23 dicembre della società. Ciò significa che l'attaccante potrebbe essere in grado di decifrare alcune password di siti Web degli utenti LastPass attraverso l'ipotesi della forza bruta.
Avviso di recente incidente di sicurezza – Il blog di LastPass#ultimopasshack #hack #ultimopasso #infosec https://t.co/sQALfnpOTy
— Thomas Zickell (@thomaszickell) Dicembre 23, 2022
LastPass ha rivelato per la prima volta la violazione nell'agosto 2022, ma a quel tempo sembrava che l'aggressore avesse ottenuto solo il codice sorgente e le informazioni tecniche, non i dati dei clienti. Tuttavia, la società ha indagato e ha scoperto che l'aggressore ha utilizzato queste informazioni tecniche per attaccare il dispositivo di un altro dipendente, che è stato poi utilizzato per ottenere le chiavi dei dati dei clienti archiviati in un sistema di archiviazione cloud.
Di conseguenza, i metadati dei clienti non crittografati sono stati rivelato all'aggressore, inclusi "nomi di società, nomi di utenti finali, indirizzi di fatturazione, indirizzi e-mail, numeri di telefono e indirizzi IP da cui i clienti accedevano al servizio LastPass".
Inoltre, i depositi crittografati di alcuni clienti sono stati rubati. Questi depositi contengono le password del sito Web che ogni utente memorizza con il servizio LastPass. Fortunatamente, i depositi sono crittografati con una password principale, che dovrebbe impedire all'attaccante di leggerli.
La dichiarazione di LastPass sottolinea che il servizio utilizza una crittografia all'avanguardia per rendere molto difficile per un utente malintenzionato leggere i file del vault senza conoscere la password principale, affermando:
“Questi campi crittografati rimangono protetti con la crittografia AES a 256 bit e possono essere decrittografati solo con una chiave di crittografia univoca derivata dalla password principale di ciascun utente utilizzando la nostra architettura Zero Knowledge. Come promemoria, la password principale non è mai nota a LastPass e non è memorizzata o gestita da LastPass.
Anche così, LastPass ammette che se un cliente ha utilizzato una password principale debole, l'attaccante potrebbe essere in grado di utilizzare la forza bruta per indovinare questa password, consentendo loro di decrittografare il caveau e ottenere tutte le password del sito Web dei clienti, come spiega LastPass:
“È importante notare che se la tua password principale non utilizza le [migliori pratiche consigliate dall'azienda], ridurrebbe notevolmente il numero di tentativi necessari per indovinarla correttamente. In questo caso, come misura di sicurezza aggiuntiva, dovresti considerare di ridurre al minimo i rischi modificando le password dei siti Web che hai memorizzato.
Gli hack del gestore di password possono essere eliminati con Web3?
L'exploit di LastPass illustra un'affermazione che gli sviluppatori Web3 hanno fatto per anni: che il tradizionale sistema di accesso con nome utente e password deve essere eliminato a favore degli accessi al portafoglio blockchain.
Secondo i sostenitori di accesso al portafoglio crittografico, gli accessi con password tradizionali sono fondamentalmente insicuri perché richiedono la conservazione degli hash delle password sui server cloud. Se questi hash vengono rubati, possono essere violati. Inoltre, se un utente fa affidamento sulla stessa password per più siti Web, una password rubata può portare alla violazione di tutte le altre. D'altra parte, la maggior parte degli utenti non riesce a ricordare più password per diversi siti web.
Per risolvere questo problema sono stati inventati servizi di gestione delle password come LastPass. Ma questi si basano anche su servizi cloud per archiviare depositi di password crittografati. Se un utente malintenzionato riesce a ottenere il deposito password dal servizio di gestione delle password, potrebbe essere in grado di violare il deposito e ottenere tutte le password dell'utente.
Le applicazioni Web3 risolvono il problema in un altro modo. Usano portafogli di estensione del browser come Metamask o Trustwallet per accedere utilizzando una firma crittografica, eliminando la necessità di memorizzare una password nel cloud.
Ma finora, questo metodo è stato standardizzato solo per applicazioni decentralizzate. Le app tradizionali che richiedono un server centrale attualmente non dispongono di uno standard concordato su come utilizzare i portafogli crittografici per gli accessi.
Correlato: Facebook viene multato di 265 milioni di euro per aver fatto trapelare i dati dei clienti
Tuttavia, una recente Ethereum Improvement Proposal (EIP) mira a porre rimedio a questa situazione. Chiamata "EIP-4361", la proposta tenta di farlo fornire uno standard universale per gli accessi web che funziona sia per applicazioni centralizzate che decentralizzate.
Se questo standard viene concordato e implementato dall'industria Web3, i suoi sostenitori sperano che l'intero world wide web alla fine eliminerà del tutto gli accessi con password, eliminando il rischio di violazioni del gestore di password come quella che è avvenuta a LastPass.
Fonte: https://cointelegraph.com/news/lastpass-attacker-stole-password-vault-data-showing-web2-s-limitations