Wachtwoordbeheerservice LastPass werd in augustus 2022 gehackt en de aanvaller stal de gecodeerde wachtwoorden van gebruikers, volgens een verklaring van het bedrijf van 23 december. Dit betekent dat de aanvaller sommige websitewachtwoorden van LastPass-gebruikers kan kraken door brute kracht te raden.
Kennisgeving van recent beveiligingsincident – De LastPass-blog#laatstepasshack #hacken #laatstepass #infosec https://t.co/sQALfnpOTy
— Thomas Zickell (@thomaszickell) 23 december 2022
LastPass maakte de inbreuk voor het eerst bekend in augustus 2022, maar op dat moment leek het erop dat de aanvaller alleen de broncode en technische informatie had verkregen, geen klantgegevens. Het bedrijf heeft echter onderzoek gedaan en ontdekt dat de aanvaller deze technische informatie gebruikte om het apparaat van een andere werknemer aan te vallen, dat vervolgens werd gebruikt om sleutels te verkrijgen voor klantgegevens die waren opgeslagen in een cloudopslagsysteem.
Als gevolg hiervan zijn niet-versleutelde metagegevens van klanten onthuld aan de aanvaller, inclusief "bedrijfsnamen, namen van eindgebruikers, factuuradressen, e-mailadressen, telefoonnummers en de IP-adressen van waaruit klanten toegang hadden tot de LastPass-service."
Bovendien werden versleutelde kluizen van sommige klanten gestolen. Deze kluizen bevatten de websitewachtwoorden die elke gebruiker opslaat met de LastPass-service. Gelukkig zijn de kluizen versleuteld met een hoofdwachtwoord, wat zou moeten voorkomen dat de aanvaller ze kan lezen.
De verklaring van LastPass benadrukt dat de service gebruikmaakt van de modernste encryptie om het voor een aanvaller erg moeilijk te maken om kluisbestanden te lezen zonder het hoofdwachtwoord te kennen, met vermelding van:
“Deze gecodeerde velden blijven beveiligd met 256-bit AES-codering en kunnen alleen worden gedecodeerd met een unieke coderingssleutel die is afgeleid van het hoofdwachtwoord van elke gebruiker met behulp van onze Zero Knowledge-architectuur. Ter herinnering: het hoofdwachtwoord is nooit bekend bij LastPass en wordt niet opgeslagen of onderhouden door LastPass.”
Toch geeft LastPass toe dat als een klant een zwak hoofdwachtwoord heeft gebruikt, de aanvaller mogelijk brute kracht kan gebruiken om dit wachtwoord te raden, waardoor hij de kluis kan ontsleutelen en alle websitewachtwoorden van de klant kan achterhalen, zoals LastPass uitlegt:
“Het is belangrijk op te merken dat als uw hoofdwachtwoord geen gebruik maakt van de [best practices die het bedrijf aanbeveelt], dit het aantal pogingen om het correct te raden aanzienlijk zou verminderen. In dit geval zou je als extra beveiligingsmaatregel moeten overwegen om het risico te minimaliseren door de wachtwoorden van websites die je hebt opgeslagen te wijzigen.”
Kunnen wachtwoordbeheerder-hacks worden geëlimineerd met Web3?
De LastPass-exploit illustreert een claim die Web3-ontwikkelaars al jaren maken: dat het traditionele gebruikersnaam- en wachtwoord-inlogsysteem moet worden geschrapt ten gunste van blockchain-portemonnee-logins.
Volgens voorstanders van crypto-portemonnee inloggen, traditionele wachtwoordaanmeldingen zijn fundamenteel onveilig omdat ze hashes van wachtwoorden vereisen die op cloudservers moeten worden bewaard. Als deze hashes worden gestolen, kunnen ze worden gekraakt. Bovendien, als een gebruiker voor meerdere websites op hetzelfde wachtwoord vertrouwt, kan één gestolen wachtwoord leiden tot een inbreuk op alle andere. Aan de andere kant kunnen de meeste gebruikers niet meerdere wachtwoorden voor verschillende websites onthouden.
Om dit probleem op te lossen, zijn wachtwoordbeheerservices zoals LastPass uitgevonden. Maar deze vertrouwen ook op cloudservices om gecodeerde wachtwoordkluizen op te slaan. Als een aanvaller erin slaagt de wachtwoordkluis van de wachtwoordbeheerservice te bemachtigen, kan hij de kluis mogelijk kraken en alle wachtwoorden van de gebruiker bemachtigen.
Web3-applicaties lossen het probleem op op een andere manier. Ze gebruiken wallets met browserextensies zoals Metamask of Trustwallet om in te loggen met een cryptografische handtekening, waardoor er geen wachtwoord meer in de cloud hoeft te worden opgeslagen.
Maar tot nu toe is deze methode alleen gestandaardiseerd voor decentrale toepassingen. Traditionele apps die een centrale server nodig hebben, hebben momenteel geen overeengekomen standaard voor het gebruik van crypto-wallets voor logins.
Zie ook: Facebook krijgt een boete van 265 miljoen euro voor het lekken van klantgegevens
Een recent Ethereum Improvement Proposal (EIP) heeft echter tot doel deze situatie te verhelpen. Genaamd "EIP-4361", probeert het voorstel zorgen voor een universele standaard voor weblogins die werkt voor zowel gecentraliseerde als gedecentraliseerde applicaties.
Als deze standaard wordt goedgekeurd en geïmplementeerd door de Web3-industrie, hopen de voorstanders ervan dat het hele wereldwijde web uiteindelijk volledig zal afkomen van wachtwoordaanmeldingen, waardoor het risico van inbreuken op wachtwoordbeheer, zoals die bij LastPass is gebeurd, wordt geëlimineerd.
Bron: https://cointelegraph.com/news/lastpass-attacker-stole-password-vault-data-showing-web2-s-limitations