24/12/2022 05:05 read

118

Kẻ tấn công LastPass đã đánh cắp dữ liệu kho mật khẩu, cho thấy những hạn chế của Web2

Người dùng LastPass có mật khẩu chính yếu có thể cần phải thay đổi từng mật khẩu mà họ đã lưu trữ với dịch vụ.

Dịch vụ quản lý mật khẩu LastPass đã bị tấn công vào tháng 8 năm 2022 và kẻ tấn công đã đánh cắp mật khẩu được mã hóa của người dùng, theo tuyên bố ngày 23 tháng 12 của công ty. Điều này có nghĩa là kẻ tấn công có thể bẻ khóa một số mật khẩu trang web của người dùng LastPass thông qua đoán mò.

Notice of Recent Security Incident - The LastPass Blog#lastpasshack #hack #lastpass #infosec https://t.co/sQALfnpOTy
— Thomas Zickell (@thomaszickell) December 23, 2022

LastPass lần đầu tiết lộ lỗ hổng vào tháng 8 năm 2022 nhưng vào thời điểm đó, có vẻ như kẻ tấn công chỉ lấy được mã nguồn và thông tin kỹ thuật chứ không lấy được bất kỳ dữ liệu nào của khách hàng. Tuy nhiên, công ty đã điều tra và phát hiện ra rằng kẻ tấn công đã sử dụng thông tin kỹ thuật này để tấn công một thiết bị khác của nhân viên, sau đó thiết bị này được sử dụng để lấy khóa dữ liệu khách hàng được lưu trữ trong hệ thống lưu trữ đám mây.

Kết quả là siêu dữ liệu khách hàng không được mã hóa đã bị tiết lộ cho kẻ tấn công, bao gồm tên công ty, tên người dùng cuối, địa chỉ thanh toán, địa chỉ email, số điện thoại và địa chỉ IP mà từ đó khách hàng đã truy cập dịch vụ LastPass.

Ngoài ra, một số kho tiền mã hóa của khách hàng đã bị đánh cắp. Các kho tiền này chứa mật khẩu trang web mà mỗi người dùng lưu trữ bằng dịch vụ LastPass. May mắn thay, các kho tiền được mã hóa bằng Mật khẩu chính, điều này sẽ ngăn kẻ tấn công đọc được chúng.

Tuyên bố từ LastPass nhấn mạnh rằng dịch vụ sử dụng mã hóa hiện đại để khiến kẻ tấn công rất khó đọc các tệp vault mà không biết Mật khẩu chính, nêu rõ:

Các trường được mã hóa này vẫn được bảo mật bằng mã hóa AES 256-bit và chỉ có thể được giải mã bằng một khóa mã hóa duy nhất được lấy từ mỗi mật khẩu chính của người dùng bằng kiến trúc Zero Knowledge của chúng tôi. Xin nhắc lại, mật khẩu chính không bao giờ được LastPass biết đến và không được LastPass lưu trữ hoặc duy trì.

bất chấp việc vậy, LastPass thừa nhận rằng nếu khách hàng đã sử dụng Mật khẩu chủ yếu, kẻ tấn công có thể sử dụng vũ lực để đoán mật khẩu này, cho phép họ giải mã kho tiền và lấy được tất cả mật khẩu trang web của khách hàng, như LastPass giải thích :

điều quan trọng cần lưu ý là nếu mật khẩu chính của bạn không sử dụng [các phương pháp hay nhất mà công ty đề xuất] thì số lần thử đoán chính xác sẽ giảm đáng kể. Trong tình huống này, như một biện pháp bảo mật bổ sung, bạn nên xem xét giảm thiểu rủi ro bằng cách thay đổi mật khẩu của các trang web bạn đã lưu trữ.

Có thể loại bỏ các vụ hack trình quản lý mật khẩu bằng Web3 không?

Khai thác LastPass minh họa cho một tuyên bố mà các nhà phát triển Web3 đã đưa ra trong nhiều năm: rằng hệ thống đăng nhập tên người dùng và mật khẩu truyền thống cần phải được loại bỏ để ưu tiên đăng nhập ví blockchain.

Theo những người ủng hộ việc đăng nhập ví tiền điện tử, thông tin đăng nhập bằng mật khẩu truyền thống về cơ bản là không an toàn vì chúng yêu cầu mã băm của mật khẩu phải được lưu giữ trên máy chủ đám mây. Nếu những giá trị băm này bị đánh cắp, chúng có thể bị bẻ khóa. Ngoài ra, nếu người dùng dựa vào cùng một mật khẩu cho nhiều trang web, một mật khẩu bị đánh cắp có thể dẫn đến việc phá vỡ tất cả các mật khẩu khác. Mặt khác, hầu hết người dùng không thể nhớ nhiều mật khẩu cho các trang web khác nhau.

Để giải quyết vấn đề này, các dịch vụ quản lý mật khẩu như LastPass đã được phát minh. Nhưng những thứ này cũng dựa vào các dịch vụ đám mây để lưu trữ các kho mật khẩu được mã hóa. Nếu kẻ tấn công lấy được kho mật khẩu từ dịch vụ quản lý mật khẩu, chúng có thể bẻ khóa kho và lấy được tất cả mật khẩu của người dùng.

Các ứng dụng Web3 giải quyết vấn đề theo một cách khác. Họ sử dụng các ví tiện ích mở rộng của trình duyệt như Metamask hoặc Trustwallet để đăng nhập bằng chữ ký mã hóa, loại bỏ nhu cầu lưu trữ mật khẩu trên đám mây.

Một ví dụ về trang đăng nhập ví tiền điện tử. Nguồn: Blockscan Chat

Nhưng cho đến nay, phương pháp này mới chỉ được chuẩn hóa cho các ứng dụng phi tập trung. Các ứng dụng truyền thống yêu cầu máy chủ trung tâm hiện không có tiêu chuẩn thống nhất về cách sử dụng ví tiền điện tử để đăng nhập.

Tuy nhiên, một Đề xuất cải tiến Ethereum (EIP) gần đây nhằm mục đích khắc phục tình trạng này. Được gọi là EIP-4361, đề xuất cố gắng cung cấp một tiêu chuẩn chung cho thông tin đăng nhập web hoạt động cho cả ứng dụng tập trung và phi tập trung.

Nếu tiêu chuẩn này được ngành công nghiệp Web3 đồng ý và triển khai, thì những người ủng hộ tiêu chuẩn này hy vọng rằng toàn bộ web trên toàn thế giới cuối cùng sẽ loại bỏ hoàn toàn thông tin đăng nhập bằng mật khẩu, loại bỏ nguy cơ trình quản lý mật khẩu bị hỏng như trường hợp đã xảy ra ở LastPass.

Theo CoinTelegraph

Tuyên bố miễn trừ trách nhiệm: Bài viết này chỉ được viết cho mục đích thông tin. Bài viết không nhằm mục đích khuyến khích mua tài sản theo bất kỳ cách nào, cũng không cấu thành lời chào mời, đề nghị, khuyến nghị hoặc gợi ý đầu tư. Tôi muốn nhắc nhở bạn rằng tất cả các tài sản đều được đánh giá từ nhiều góc độ và có rủi ro cao, do đó, bất kỳ quyết định đầu tư nào và rủi ro liên quan đều do nhà đầu tư tự chịu rủi ro.

Chia sẻ bài viết này với bạn bè qua Facebook / Zalo / Telegram: