ບໍລິການຈັດການລະຫັດຜ່ານ LastPass ຖືກແຮັກໃນເດືອນສິງຫາ 2022, ແລະຜູ້ໂຈມຕີໄດ້ລັກເອົາລະຫັດຜ່ານທີ່ຖືກເຂົ້າລະຫັດຂອງຜູ້ໃຊ້, ອີງຕາມການຖະແຫຼງການໃນວັນທີ 23 ທັນວາຂອງບໍລິສັດ. ນີ້ຫມາຍຄວາມວ່າຜູ້ໂຈມຕີອາດຈະສາມາດ crack ບາງລະຫັດຜ່ານເວັບໄຊທ໌ຂອງຜູ້ໃຊ້ LastPass ໂດຍຜ່ານການຄາດເດົາຜົນບັງຄັບໃຊ້.
ແຈ້ງການເຫດການຄວາມປອດໄພທີ່ຜ່ານມາ – The LastPass Blog#lastpasshack #ແຮກ #ທາງຜ່ານ #ຂໍ້ມູນ https://t.co/sQALfnpOTy
— Thomas Zickell (@thomaszickell) ເດືອນທັນວາ 23, 2022
LastPass ໄດ້ເປີດເຜີຍການລະເມີດຄັ້ງທຳອິດໃນເດືອນສິງຫາ 2022 ແຕ່ໃນເວລານັ້ນ, ປະກົດວ່າຜູ້ໂຈມຕີໄດ້ຮັບພຽງແຕ່ແຫຼ່ງລະຫັດ ແລະຂໍ້ມູນດ້ານວິຊາການເທົ່ານັ້ນ, ບໍ່ແມ່ນຂໍ້ມູນລູກຄ້າໃດໆ. ຢ່າງໃດກໍ່ຕາມ, ບໍລິສັດໄດ້ສືບສວນແລະຄົ້ນພົບວ່າຜູ້ໂຈມຕີໄດ້ໃຊ້ຂໍ້ມູນດ້ານວິຊາການນີ້ເພື່ອໂຈມຕີອຸປະກອນຂອງພະນັກງານອື່ນ, ເຊິ່ງຫຼັງຈາກນັ້ນຖືກນໍາໃຊ້ເພື່ອຂໍກະແຈຂໍ້ມູນຂອງລູກຄ້າທີ່ເກັບໄວ້ໃນລະບົບເກັບຮັກສາຟັງ.
ດັ່ງນັ້ນ, metadata ລູກຄ້າທີ່ບໍ່ໄດ້ເຂົ້າລະຫັດໄດ້ ເປີດເຜີຍ ຕໍ່ກັບຜູ້ໂຈມຕີ, ລວມທັງ "ຊື່ບໍລິສັດ, ຊື່ຜູ້ໃຊ້ສຸດທ້າຍ, ທີ່ຢູ່ໃບບິນ, ທີ່ຢູ່ອີເມວ, ເບີໂທລະສັບ, ແລະທີ່ຢູ່ IP ທີ່ລູກຄ້າໄດ້ເຂົ້າເຖິງການບໍລິການ LastPass."
ນອກຈາກນັ້ນ, ຫ້ອງໂຖງເຂົ້າລະຫັດຂອງລູກຄ້າບາງຄົນຖືກລັກ. vaults ເຫຼົ່ານີ້ປະກອບດ້ວຍລະຫັດຜ່ານເວັບໄຊທ໌ທີ່ຜູ້ໃຊ້ແຕ່ລະຄົນເກັບຮັກສາໄວ້ກັບການບໍລິການ LastPass. ໂຊກດີ, ຫ້ອງໂຖງຖືກເຂົ້າລະຫັດດ້ວຍ Master Password, ເຊິ່ງຄວນປ້ອງກັນບໍ່ໃຫ້ຜູ້ໂຈມຕີສາມາດອ່ານພວກມັນໄດ້.
ຖະແຫຼງການຈາກ LastPass ເນັ້ນຫນັກວ່າການບໍລິການໃຊ້ການເຂົ້າລະຫັດທີ່ທັນສະໄຫມເພື່ອເຮັດໃຫ້ມັນມີຄວາມຫຍຸ້ງຍາກຫຼາຍສໍາລັບຜູ້ໂຈມຕີທີ່ຈະອ່ານໄຟລ໌ vault ໂດຍບໍ່ຮູ້ລະຫັດຜ່ານ Master, ໂດຍກ່າວວ່າ:
“ຊ່ອງຂໍ້ມູນທີ່ຖືກເຂົ້າລະຫັດເຫຼົ່ານີ້ຍັງຄົງຮັກສາຄວາມປອດໄພດ້ວຍການເຂົ້າລະຫັດ AES 256-ບິດ ແລະສາມາດຖອດລະຫັດໄດ້ດ້ວຍລະຫັດການເຂົ້າລະຫັດທີ່ເປັນເອກະລັກສະເພາະທີ່ໄດ້ມາຈາກລະຫັດຜ່ານຫຼັກຂອງຜູ້ໃຊ້ແຕ່ລະຄົນໂດຍໃຊ້ສະຖາປັດຕະຍະກຳ Zero Knowledge ຂອງພວກເຮົາ. ເປັນການແຈ້ງເຕືອນ, ລະຫັດຜ່ານຕົ້ນສະບັບບໍ່ເຄີຍຮູ້ຈັກກັບ LastPass ແລະບໍ່ໄດ້ຖືກເກັບຮັກສາໄວ້ຫຼືຮັກສາໄວ້ໂດຍ LastPass."
ເຖິງແມ່ນວ່າ, LastPass ຍອມຮັບວ່າຖ້າລູກຄ້າໄດ້ໃຊ້ Master Password ທີ່ອ່ອນແອ, ຜູ້ໂຈມຕີອາດຈະສາມາດໃຊ້ brute force ເພື່ອຄາດເດົາລະຫັດຜ່ານນີ້, ໃຫ້ພວກເຂົາຖອດລະຫັດ vault ແລະໄດ້ຮັບລະຫັດຜ່ານເວັບໄຊທ໌ຂອງລູກຄ້າທັງຫມົດ, ດັ່ງທີ່ LastPass ອະທິບາຍ:
"ມັນເປັນສິ່ງສໍາຄັນທີ່ຈະສັງເກດວ່າຖ້າລະຫັດຜ່ານຕົ້ນສະບັບຂອງທ່ານບໍ່ໄດ້ນໍາໃຊ້ [ການປະຕິບັດທີ່ດີທີ່ສຸດທີ່ບໍລິສັດແນະນໍາ], ມັນຈະຫຼຸດລົງຢ່າງຫຼວງຫຼາຍຂອງຄວາມພະຍາຍາມທີ່ຕ້ອງການເພື່ອຄາດເດົາມັນຢ່າງຖືກຕ້ອງ. ໃນກໍລະນີນີ້, ເປັນມາດຕະການຄວາມປອດໄພພິເສດ, ທ່ານຄວນພິຈາລະນາຫຼຸດຜ່ອນຄວາມສ່ຽງໂດຍການປ່ຽນລະຫັດຜ່ານຂອງເວັບໄຊທ໌ທີ່ທ່ານເກັບໄວ້."
ການ hack ຜູ້ຈັດການລະຫັດຜ່ານສາມາດຖືກລົບລ້າງດ້ວຍ Web3 ໄດ້ບໍ?
ການຂຸດຄົ້ນ LastPass ສະແດງໃຫ້ເຫັນເຖິງການອ້າງວ່າຜູ້ພັດທະນາ Web3 ໄດ້ເຮັດມາເປັນເວລາຫລາຍປີ: ວ່າລະບົບການເຂົ້າສູ່ລະບົບຊື່ຜູ້ໃຊ້ແລະລະຫັດຜ່ານແບບດັ້ງເດີມຕ້ອງໄດ້ຮັບການຂູດຮີດໃນການເຂົ້າສູ່ລະບົບ blockchain wallet.
ອີງຕາມຜູ້ສະຫນັບສະຫນູນສໍາລັບ ເຂົ້າສູ່ລະບົບ crypto wallet, ການເຂົ້າສູ່ລະບົບດ້ວຍລະຫັດຜ່ານແບບດັ້ງເດີມແມ່ນບໍ່ປອດໄພໂດຍພື້ນຖານເພາະວ່າພວກເຂົາຕ້ອງການ hashes ຂອງລະຫັດຜ່ານທີ່ຈະເກັບຮັກສາໄວ້ໃນເຄື່ອງແມ່ຂ່າຍຟັງ. ຖ້າ hashes ເຫຼົ່ານີ້ຖືກລັກ, ພວກເຂົາສາມາດຖືກ cracked. ນອກຈາກນັ້ນ, ຖ້າຜູ້ໃຊ້ອີງໃສ່ລະຫັດຜ່ານດຽວກັນສໍາລັບຫລາຍເວັບໄຊທ໌, ລະຫັດຜ່ານທີ່ຖືກລັກຫນຶ່ງສາມາດນໍາໄປສູ່ການລະເມີດຂອງຄົນອື່ນທັງຫມົດ. ໃນທາງກົງກັນຂ້າມ, ຜູ້ໃຊ້ສ່ວນໃຫຍ່ບໍ່ສາມາດຈື່ລະຫັດຜ່ານຫຼາຍອັນສໍາລັບເວັບໄຊທ໌ຕ່າງໆ.
ເພື່ອແກ້ໄຂບັນຫານີ້, ບໍລິການຈັດການລະຫັດຜ່ານເຊັ່ນ LastPass ໄດ້ຖືກປະດິດ. ແຕ່ສິ່ງເຫຼົ່ານີ້ຍັງອີງໃສ່ການບໍລິການຄລາວເພື່ອເກັບຮັກສາລະຫັດລັບທີ່ຖືກເຂົ້າລະຫັດໄວ້. ຖ້າຜູ້ໂຈມຕີສາມາດຮັບລະຫັດລັບຈາກບໍລິການຈັດການລະຫັດຜ່ານ, ພວກເຂົາອາດຈະສາມາດ crack vault ແລະໄດ້ຮັບລະຫັດຜ່ານທັງໝົດຂອງຜູ້ໃຊ້.
ຄໍາຮ້ອງສະຫມັກ Web3 ແກ້ໄຂບັນຫາ ໃນທາງທີ່ແຕກຕ່າງກັນ. ພວກເຂົາໃຊ້ກະເປົາເງິນສ່ວນຂະຫຍາຍຂອງຕົວທ່ອງເວັບເຊັ່ນ Metamask ຫຼື Trustwallet ເພື່ອເຂົ້າສູ່ລະບົບໂດຍໃຊ້ລາຍເຊັນເຂົ້າລະຫັດລັບ, ລົບລ້າງຄວາມຈໍາເປັນຂອງລະຫັດຜ່ານທີ່ຈະເກັບໄວ້ໃນຄລາວ.
ແຕ່ມາເຖິງຕອນນັ້ນ, ວິທີການນີ້ພຽງແຕ່ໄດ້ມາດຕະຖານສໍາລັບຄໍາຮ້ອງສະຫມັກການກະຈາຍ. ແອັບແບບດັ້ງເດີມທີ່ຕ້ອງມີເຊີບເວີສູນກາງໃນປັດຈຸບັນບໍ່ມີມາດຕະຖານທີ່ຕົກລົງກັນກ່ຽວກັບວິທີໃຊ້ກະເປົາເງິນ crypto ສໍາລັບການເຂົ້າສູ່ລະບົບ.
ທີ່ກ່ຽວຂ້ອງ: Facebook ຖືກປັບໃໝ 265 ລ້ານເອີໂຣ ສຳລັບການຮົ່ວໄຫຼຂໍ້ມູນລູກຄ້າ
ຢ່າງໃດກໍ່ຕາມ, ການສະເຫນີການປັບປຸງ Ethereum ທີ່ຜ່ານມາ (EIP) ມີຈຸດປະສົງເພື່ອແກ້ໄຂສະຖານະການນີ້. ເອີ້ນວ່າ “EIP-4361,” ຂໍ້ສະເໜີພະຍາຍາມ ໃຫ້ ມາດຕະຖານທົ່ວໄປສໍາລັບການເຂົ້າສູ່ລະບົບເວັບທີ່ເຮັດວຽກສໍາລັບທັງສອງຄໍາຮ້ອງສະຫມັກທີ່ເປັນສູນກາງແລະການກະຈາຍ.
ຖ້າມາດຕະຖານນີ້ຖືກຕົກລົງແລະປະຕິບັດໂດຍອຸດສາຫະກໍາ Web3, ຜູ້ສະຫນັບສະຫນູນຂອງມັນຫວັງວ່າເວັບໄຊທ໌ທົ່ວໂລກຈະກໍາຈັດການເຂົ້າສູ່ລະບົບລະຫັດຜ່ານທັງຫມົດ, ກໍາຈັດຄວາມສ່ຽງຂອງການລະເມີດລະຫັດຜ່ານຂອງຜູ້ຈັດການລະຫັດຜ່ານເຊັ່ນດຽວກັບສິ່ງທີ່ເກີດຂຶ້ນໃນ LastPass.
ທີ່ມາ: https://cointelegraph.com/news/lastpass-attacker-stole-password-vault-data-showing-web2-s-limitations