שפּריכוואָרט פאַרוואַלטונג דינסט לאַסטפּאַסס איז געווען כאַקט אין אויגוסט 2022, און די אַטאַקער סטאָול די ינקריפּטיד פּאַסווערדז פון ניצערס, לויט אַ 23 דעצעמבער דערקלערונג פון די פירמע. דעם מיטל אַז די אַטאַקער קען זיין ביכולת צו פּלאַצן עטלעכע וועבזייטל פּאַסווערדז פון לאַסטפּאַסס יוזערז דורך געסינג ברוט קראַפט.
נאָטיץ פון לעצטע זיכערהייט ינסידענט - די לאַסטפּאַסס בלאָג#לאַסטפּאַסשאַק #האַק #לאַסטפּאַס # ינפאָסעק https://t.co/sQALfnpOTy
- Thomas Zickell (@thomaszickell) דעצעמבער קסנומקס, קסנומקס
LastPass ערשטער דיסקלאָוזד די בריטש אין אויגוסט 2022, אָבער אין דער צייט, עס איז געווען אַז דער אַטאַקער האט בלויז באקומען מקור קאָד און טעכניש אינפֿאָרמאַציע, ניט קיין קונה דאַטן. אָבער, די פירמע האט ינוועסטאַגייטאַד און דיסקאַווערד אַז די אַטאַקער געניצט די טעכניש אינפֿאָרמאַציע צו באַפאַלן אן אנדער אָנגעשטעלטער ס מיטל, וואָס איז געווען דעמאָלט געניצט צו באַקומען שליסלען צו קונה דאַטן סטאָרד אין אַ וואָלקן סטאָרידזש סיסטעם.
ווי אַ רעזולטאַט, אַנענקריפּטיד קונה מעטאַדאַטאַ איז געווען גילוי צו די אַטאַקער, אַרייַנגערעכנט "פֿירמע נעמען, סוף-באַניצער נעמען, בילינג ווענדט, E- בריוו ווענדט, טעלעפאָן נומערן און די IP אַדרעסעס פֿון וואָס קאַסטאַמערז האָבן אַקסעסט די לאַסטפּאַסס סערוויס."
אין דערצו, עטלעכע קאַסטאַמערז ' ענקריפּטיד וואָלטן זענען סטאָלען. די וואָלץ אַנטהאַלטן די וועבזייטל פּאַסווערדז אַז יעדער באַניצער סטאָרז מיט די לאַסטפּאַסס דינסט. צומ גליק, די וואָלץ זענען ינקריפּטיד מיט אַ בעל שפּריכוואָרט, וואָס זאָל פאַרמייַדן די אַטאַקער צו לייענען זיי.
די דערקלערונג פון LastPass עמפאַסייזיז אַז די סערוויס ניצט מאָדערן ענקריפּשאַן צו מאַכן עס זייער שווער פֿאַר אַ אַטאַקער צו לייענען וואָלט טעקעס אָן וויסן די האר שפּריכוואָרט, סטייטינג:
"די ינקריפּטיד פעלדער בלייבן סיקיורד מיט 256-ביסל AES ענקריפּשאַן און קענען בלויז זיין דעקריפּטעד מיט אַ יינציק ענקריפּשאַן שליסל דערייווד פון יעדער באַניצער 'ס בעל פּאַראָל ניצן אונדזער נול וויסן אַרקאַטעקטשער. ווי אַ דערמאָנונג, די בעל פּאַראָל איז קיינמאָל באקאנט צו לאַסטפּאַסס און איז נישט סטאָרד אָדער מיינטיינד דורך לאַסטפּאַסס.
אפילו אַזוי, לאַסטפּאַסס אַדמיץ אַז אויב אַ קונה האט געוויינט אַ שוואַך האר שפּריכוואָרט, דער אַטאַקער קען זיין ביכולת צו נוצן ברוט קראַפט צו טרעפן דעם פּאַראָל, אַלאַוינג זיי צו דעקריפּט די וואָלט און באַקומען אַלע די קאַסטאַמערז 'וועבזייטל פּאַסווערדז, ווי LastPass דערקלערט:
"עס איז וויכטיק צו טאָן אַז אויב דיין בעל פּאַראָל טוט נישט נוצן די [בעסטער פּראַקטיסיז וואָס די פירמע רעקאַמענדז], דאָס וואָלט באטייטיק רעדוצירן די נומער פון פרווון צו טרעפן עס ריכטיק. אין דעם פאַל, ווי אַן עקסטרע זיכערהייט מאָס, איר זאָל באַטראַכטן מינאַמייזינג ריזיקירן דורך טשאַנגינג פּאַסווערדז פון וועבסיטעס וואָס איר האָט סטאָרד.
קענען פּאַראָל פאַרוואַלטער כאַקס זיין ילימאַנייטאַד מיט וועב3?
די לאַסטפּאַסס עקספּלויץ ילאַסטרייץ אַ פאָדערן אַז וועב3 דעוועלאָפּערס האָבן שוין געמאכט פֿאַר יאָרן: אַז די טראדיציאנעלן נאמען און פּאַראָל לאָגין סיסטעם דאַרף זיין סקראַפּט אין טויווע פון בלאָקטשיין בייַטל לאָגינס.
לויט אַדוואַקאַץ פֿאַר קריפּטאָ בייַטל לאָגין, טראדיציאנעלן פּאַראָל לאָגינס זענען פאַנדאַמענטאַלי ינסאַקיער ווייַל זיי דאַרפן האַשעס פון פּאַסווערדז צו זיין געהאלטן אויף וואָלקן סערווערס. אויב די האַשעס זענען סטאָלען, זיי קענען זיין קראַקט. אין אַדישאַן, אויב אַ באַניצער רילייז אויף די זעלבע פּאַראָל פֿאַר קייפל וועבסיטעס, איין סטאָלען פּאַראָל קענען פירן צו אַ ברעכן פון אַלע אנדערע. אויף די אנדערע האַנט, רובֿ יוזערז קענען נישט געדענקען קייפל פּאַסווערדז פֿאַר פאַרשידענע וועבסיטעס.
צו סאָלווע דעם פּראָבלעם, פּאַראָל פאַרוואַלטונג באַדינונגס ווי לאַסטפּאַסס האָבן שוין ינווענטאַד. אָבער די אויך פאַרלאָזנ אויף וואָלקן באַדינונגס צו קראָם ינקריפּטיד פּאַראָל וואָלץ. אויב אַ אַטאַקער געראטן צו באַקומען די פּאַראָל וואָלט פון די פּאַראָל פאַרוואַלטער דינסט, זיי קען זיין ביכולת צו פּלאַצן די וואָלט און באַקומען אַלע די פּאַסווערדז פון די באַניצער.
וועב3 אַפּלאַקיישאַנז סאָלווע די פּראָבלעם אויף אן אנדער וועג. זיי נוצן בלעטערער געשפּרייט וואָלאַץ ווי Metamask אָדער Trustwallet צו צייכן אין מיט אַ קריפּטאָגראַפיק כסימע, ילימאַנייטינג די נויט פֿאַר אַ פּאַראָל צו זיין סטאָרד אין די וואָלקן.
אָבער ביז איצט, דעם אופֿן איז בלויז סטאַנדערדייזד פֿאַר דיסענטראַלייזד אַפּלאַקיישאַנז. טראַדיציאָנעל אַפּפּס וואָס דאַרפן אַ הויפט סערווער האָבן דערווייַל נישט אַ מסכים סטאַנדאַרט פֿאַר ווי צו נוצן קריפּטאָ וואָלאַץ פֿאַר לאָגינס.
פֿאַרבונדענע: פאַסעבאָאָק איז פיינד מיט 265 מיליאָן עוראָס פֿאַר ליקינג קונה דאַטן
אָבער, אַ פריש עטהערעום ימפּראָוועמענט פאָרשלאָג (EIP) יימז צו סגולע דעם סיטואַציע. גערופֿן "EIP-4361," דער פאָרשלאָג פרווון צו צושטעלן אַ וניווערסאַל נאָרמאַל פֿאַר וועב לאָגינס וואָס אַרבעט פֿאַר ביידע סענטראַלייזד און דיסענטראַלייזד אַפּלאַקיישאַנז.
אויב דער סטאַנדאַרט איז מסכים און ימפּלאַמענאַד דורך די וועב3 אינדוסטריע, זיין פּראַפּאָונאַנץ האָפֿן אַז די גאנצע וועלט וועב וועט יווענטשאַוואַלי באַקומען באַפרייַען פון פּאַראָל לאָגינס בעסאַכאַקל, ילימאַנייטינג די ריזיקירן פון פּאַראָל פאַרוואַלטער בריטשיז ווי די וואָס איז געשען ביי LastPass.
מקור: https://cointelegraph.com/news/lastpass-attacker-stole-password-vault-data-showing-web2-s-limitations