برنامه مدیریت رمز ورود «LastPass» هک شد؛ کاربران چه اقداماتی انجام دهند؟

سرویس مدیریت پسورد لست پس (LastPass) اعلام کرد مورد حمله اکسپلویت قرار گرفته و هکر توانسته به رمزعبور کاربران دسترسی پیدا کند. این سرویس به کاربرانی که پسورد اصلی یا مستر ضعیفی انتخاب کرده‌ بودند توصیه کرد پسوردهایی که در صندوق‌های این سرویس ذخیره کرده بودند را تغییر دهند.

به گزارش میهن بلاکچین و به نقل از کوین تلگراف، بیانیه منتشر شده توسط «لست پس (LastPass)»، از سرویس‌های شناخته شده مدیریت رمز عبور، در ۲۳ دسامبر (۲ دی) نشان می‌دهد، وب‌سایت این شرکت هک شده و مهاجم رمز عبور کاربران را به دست آورده است. این بدان معنی است که مهاجم ممکن است بتواند برخی از رمزهای عبور وب سایت کاربران LastPass را از طریق حمله جستجوی فراگیر (Brute Force Attack) به دست آورد.

LastPass اولین بار در آگوست ۲۰۲۲ (۱۰ مرداد) این موضوع را فاش کرد، اما در آن زمان، به نظر می‌رسید هکر فقط کد منبع و اطلاعات فنی را به دست آورده است و نه اطلاعات مشتری. با این حال، این شرکت پس از انجام بررسی‌های بیشتر متوجه شده مهاجم از این اطلاعات فنی برای حمله به دستگاه یکی از کارمندان شرکت استفاده کرده و توانسته کلیدهای دسترسی به اطلاعات مشتری ذخیره شده در یک سیستم ذخیره‌سازی ابری را به دست آورد.

در نتیجه، اطلاعات رمزگذاری‌نشده مشتری از جمله «نام شرکت‌ها، نام‌ مصرف‌کنندگان نهایی، آدرس‌های صورت‌حساب، آدرس‌های ایمیل، شماره تلفن‌ها و آدرس‌های IP که مشتریان از آن‌ها به سرویس LastPass دسترسی داشتند، برای مهاجم فاش شده است.

علاوه بر این، صندوق‌های رمزنگاری شده (Encrypted Vaults) برخی از مشتریان به سرقت رفت. این صندوق‌ها حاوی رمزهای عبور وب سایت‌ها هستند که هر کاربر به کمک سرویس LastPass ذخیره می‌کند. خوشبختانه، صندوق‌ها با یک پسورد اصلی یا مستر (Master Password) رمزگذاری شده‌اند، که مانع از خواندن آن‌ها توسط مهاجم می‌شود.

بیانیه لست پس تاکید می‌کند که این سرویس از رمزگذاری پیشرفته استفاده می‌کند تا خواندن فایل‌های صندوق‌های رمزنگاری شده بدون دانستن Master Password را برای هکرها بسیار دشوار کند:

این فیلدهای رمزگذاری شده با رمزگذاری AES دویست و پنجاه و شش بیتی ایمن می‌شوند و تنها با یک کلید رمزگذاری منحصربه‌فرد که از Master Password هر کاربر با استفاده از معماری دانش صفر استخراج می‌شود، رمزگشایی می‌شوند. یادآور می‌شویم لست پس هیچ اطلاعی از Master Password کاربران ندارد و آن را ذخیره یا نگهداری نمی‌کند.

با این حال، LastPass اذعان می‌کند اگر مشتری از یک Master Password ضعیف استفاده کرده باشد، مهاجم ممکن است بتواند از حمله جستجوی فراگیر (Brute Force Attack) برای حدس زدن این رمز عبور استفاده کند و در نهایت صندوق را رمزگشایی کند و همه رمزهای عبور وب‌سایت مشتریان را به دست آورد. LastPass توضیح می‌دهد:

اگر master password شما مطابق استانداردهای شرکت ساخته نشده باشد، تعداد تلاش‌های لازم برای حدس زدن آن را به میزان قابل توجهی کاهش می‌دهد. در این مورد، به عنوان یک اقدام امنیتی اضافی، باید با تغییر رمز عبور وب سایت‌هایی که ذخیره کرده‌اید، خطر را به حداقل برسانید.

آیا وب ۳ هک‌ شدن برنامه‌های مدیریت پسورد را غیرممکن می‌کند؟

اکسپلویت LastPass ادعایی را تداعی می‌کند که توسعه‌دهندگان وب ۳ مدت‌هاست مطرح کرده‌اند؛ این که سیستم لاگین سنتی با نام کاربری و رمز عبور باید منسوخ شود و به جای آن از روش‌هایی مانند ورود با استفاده از کیف پول‌های بلاکچینی استفاده شود.

به عقیده این افراد، لاگین به وب‌سایت‌ها با روش سنتی از اساس ناامن است؛ زیرا به هش رمزهای عبور برای نگهداری در سرورهای ابری نیاز دارد. اگر این هش‌ها دزدیده شوند، می‌توان آن‌ها را کرک کرد. علاوه بر این، اگر یک کاربر از یک رمز عبور برای چندین وب سایت استفاده کند، لو رفتن رمز عبور او باعث به خطر افتادن اطلاعات وی در تمام وب‌سایت‌ها می‌شود. از طرف دیگر، اکثر کاربران نمی‌توانند چندین رمز عبور را برای وب سایت‌های مختلف به خاطر بسپارند.

برای حل این مشکل، سرویس‌های مدیریت رمز عبور مانند LastPass اختراع شده‌اند. اما این سرویس‌ها نیز به خدمات ابری برای ذخیره صندوق‌ رمزعبورهای رمزگذاری‌شده متکی هستند. اگر مهاجمی موفق به دریافت صندوق رمز عبور از سرویس مدیریت رمز عبور شود، ممکن است بتواند به صندوق نفوذ کرده و همه رمز عبورهای کاربر را به دست آورد.

برنامه‌های وب ۳ مشکل را به روش دیگری حل می‌کنند. آن‌ها از کیف پول‌های افزونه مرورگر مانند متامسک یا تراست ولت برای ورود به سیستم با استفاده از امضای رمزنگاری استفاده می‌کنند و نیاز به ذخیره رمز عبور در فضای ابری را از بین می‌برند.

اما تاکنون این روش فقط برای برنامه‌های غیرمتمرکز استاندارد شده است. برنامه‌های سنتی که به سرور مرکزی نیاز دارند، در حال حاضر استاندارد مورد توافقی برای نحوه استفاده از کیف پول‌ ارز دیجیتال برای ورود به سیستم ندارند.

با این حال، پروپوزال بهبود اتریوم (EIP) شماره ۴۳۶۱ (EIP-4361) که اخیرا منتشر شده است قصد دارد این وضعیت را اصلاح کند. این پروپوزال در تلاش است یک استاندارد جهانی برای ورود به وب ارائه کند که هم برای برنامه‌های متمرکز و هم برای برنامه‌های غیرمتمرکز کار می‌کند.

اگر این استاندارد توسط صنعت وب ۳ پذیرفته و اجرا شود، می‌توان امیدوار بود وب جهانی برای همیشه از ورود با پسورد خلاص شود و خطر نقص برنامه‌های مدیریت رمز عبور، مانند آنچه در LastPass رخ داده است، از بین برود.

• کاربران این نرم‌افزار برای امنیت اطلاعات خود چه اقداماتی انجام دهند؟

این سرویس به کاربرانی که پسورد اصلی یا مستر (Master Password) ضعیفی انتخاب کرده‌ بودند توصیه کرد پسوردهایی که در صندوق‌های این سرویس ذخیره کرده بودند را تغییر دهند. حتی اگر Master Password قوی انتخاب شده باشد، تغییر دادن آن به همه کاربران توصیه می‌شود.