O serviço de gerenciamento de senhas LastPass foi hackeado em agosto de 2022 e o invasor roubou as senhas criptografadas dos usuários, de acordo com uma declaração de 23 de dezembro da empresa. Isso significa que o invasor pode quebrar algumas senhas de sites de usuários do LastPass por meio de adivinhação de força bruta.
Aviso de incidente de segurança recente – The LastPass Blog#últimopasshack #hackear #Última passagem #infosec https://t.co/sQALfnpOTy
—Thomas Zickell (@thomaszickell) 23 de dezembro de 2022
O LastPass divulgou a violação pela primeira vez em agosto de 2022, mas, naquela época, parecia que o invasor havia obtido apenas o código-fonte e as informações técnicas, e não os dados do cliente. No entanto, a empresa investigou e descobriu que o invasor usou essas informações técnicas para atacar o dispositivo de outro funcionário, que foi usado para obter as chaves dos dados do cliente armazenados em um sistema de armazenamento em nuvem.
Como resultado, os metadados não criptografados do cliente foram revelou ao invasor, incluindo “nomes de empresas, nomes de usuários finais, endereços de cobrança, endereços de e-mail, números de telefone e endereços IP dos quais os clientes acessavam o serviço LastPass”.
Além disso, os cofres criptografados de alguns clientes foram roubados. Esses cofres contêm as senhas do site que cada usuário armazena com o serviço LastPass. Felizmente, os cofres são criptografados com uma Senha Mestra, o que deve impedir que o invasor possa lê-los.
A declaração do LastPass enfatiza que o serviço usa criptografia de última geração para tornar muito difícil para um invasor ler os arquivos do cofre sem conhecer a Senha Mestra, afirmando:
“Esses campos criptografados permanecem protegidos com criptografia AES de 256 bits e só podem ser descriptografados com uma chave de criptografia exclusiva derivada da senha mestra de cada usuário usando nossa arquitetura Zero Knowledge. Como lembrete, a senha mestra nunca é conhecida pelo LastPass e não é armazenada ou mantida pelo LastPass.”
Mesmo assim, o LastPass admite que, se um cliente tiver usado uma Senha Mestra fraca, o invasor poderá usar força bruta para adivinhar essa senha, permitindo descriptografar o cofre e obter todas as senhas do site dos clientes, como o LastPass explica:
“É importante observar que, se a sua senha mestra não fizer uso das [melhores práticas recomendadas pela empresa], ela reduzirá significativamente o número de tentativas necessárias para adivinhá-la corretamente. Nesse caso, como medida extra de segurança, você deve considerar minimizar o risco alterando as senhas dos sites que você armazenou.”
Os hacks do gerenciador de senhas podem ser eliminados com o Web3?
A exploração LastPass ilustra uma afirmação que os desenvolvedores Web3 vêm fazendo há anos: que o sistema tradicional de login de nome de usuário e senha precisa ser descartado em favor de logins de carteira blockchain.
De acordo com os defensores carteira criptográfica login, os logins de senha tradicionais são fundamentalmente inseguros porque exigem que hashes de senhas sejam mantidos em servidores em nuvem. Se esses hashes forem roubados, eles podem ser quebrados. Além disso, se um usuário usar a mesma senha para vários sites, uma senha roubada pode levar à violação de todas as outras. Por outro lado, a maioria dos usuários não consegue se lembrar de várias senhas para sites diferentes.
Para resolver esse problema, foram inventados serviços de gerenciamento de senhas como o LastPass. Mas eles também contam com serviços de nuvem para armazenar cofres de senhas criptografadas. Se um invasor conseguir obter o cofre de senhas do serviço do gerenciador de senhas, ele poderá invadir o cofre e obter todas as senhas do usuário.
Aplicações Web3 resolvem o problema de uma maneira diferente. Eles usam carteiras de extensão de navegador como Metamask ou Trustwallet para fazer login usando uma assinatura criptográfica, eliminando a necessidade de armazenar uma senha na nuvem.
Mas até agora, esse método foi padronizado apenas para aplicativos descentralizados. Aplicativos tradicionais que exigem um servidor central atualmente não possuem um padrão acordado sobre como usar carteiras criptográficas para logins.
Relacionado: Facebook é multado em 265 milhões de euros por vazar dados de clientes
No entanto, uma recente Proposta de Melhoria do Ethereum (EIP) visa remediar esta situação. Chamada de “EIP-4361”, a proposta tenta fornecer um padrão universal para logins da web que funciona para aplicativos centralizados e descentralizados.
Se esse padrão for acordado e implementado pela indústria Web3, seus proponentes esperam que toda a world wide web eventualmente se livre de logins de senha, eliminando o risco de violações do gerenciador de senhas como a que aconteceu no LastPass.
Fonte: https://cointelegraph.com/news/lastpass-attacker-stole-password-vault-data-showing-web2-s-limitations