Hakeri otključavaju LastPass baze

Tokom prošle godine, ali i ove godine zlonamjerni akteri su bili u mogućnosti da dobiju pristup sistemima u oblaku trećih strana i koriste ih za pristup LastPass korisničkim podacima, uključujući baze lozinki. Očigledno, napadači sada razbijaju takve baze lozinki da bi dobili pristup određenim nalozima.

Hakeri otključavaju LastPass baze; Redizajn: Saša Đurić

Kako zlonamjerni akteri koriste ukradene LastPass lozinke

Menadžer Tejlor Monahan (Taylor Monahan) iz MetaMask, popularnog Ethereum kripto novčanika, zajedno sa drugim IT istraživačima, istražio je oko 150 incidenata u kojima su kriminalci ukrali više od 35 miliona dolara u kriptovalutama. Istražujući to, pronašli su jasne dokaze da su razbijene LastPass baze lozinki to omogućile.

Da bi se korisnici prijavili  na svoj bankovni račun, obično im je potrebno više potvrde autentičnosti od jednostavne lozinke. Obično bi banka zahtijevala da korištenje namjenske aplikacije, SMS verifikaciju ili drugi metod višefaktorske autentifikacije. Međutim, ovo nije slučaj kada su u pitanju kripto novčanici, koji su obično obezbijeđeni pomoću osnovne fraze (eng. seed phrase) od 12 ili više riječi koje vam daju potpun i neograničen pristup kripto fondovima, privatnim ključevima i transakcijama.

Naoružan ničim osim ovim nizom riječi, napadač može brzo i lako da izvuče sredstva u etar. Kako je dug niz nasumičnih riječi može biti jednako težak za pamćenje kao i posebno jaku i dugu lozinku, mnogi korisnici ih čuvaju u svojim bazama lozinkama. Kako izvještava The Verge, to je odlična vest za hakere, koji su izgleda ukrali milione dolara u kriptovalutama.

Nik Baks (Nick Bax), direktor analitike u Unciphered-u, pregledao je ogromnu količinu podataka o krađi kriptovaluta koje su iskopali drugi istraživači. U septembru 2023. godine je izjavio da su zlonamjerni akteri premjestili kriptovalute „više žrtava na iste blockchain adrese, što je omogućilo da se te žrtve snažno povežu“. Nakon što je identifikovao i razgovarao sa žrtvama, zaključio je da je jedini zajednički faktor to što su koristili LastPass za čuvanje svojih kripto osnovnih fraza. Baks sada poziva sve prijatelje i porodicu koji koriste LastPass da promjene sve svoje lozinke i migriraju bilo koju kriptovalutu koja je možda bila izložena.

LastPass baze lozinki enkriptovane, ali ne i URL

LastPass je naveo da je zlonamjerni akter takođe mogao da kopira rezervnu kopiju podataka o bazi korisnika iz šifrovanog kontejnera za skladištenje koji se čuva u vlasničkom binarnom formatu koji sadrži i nešifrovane podatke, kao što su URL adrese Internet lokacija, kao i potpuno šifrovana osjetljiva polja kao što su korisnička imena i lozinke Internet lokacija, bezbjedne bilješke i podaci popunjeni obrascima.

Ova šifrovana polja ostaju zaštićena 256-bitnom AES enkripcijom i mogu se dešifrovati samo jedinstvenim ključem za šifrovanje izvedenim iz glavne lozinke svakog korisnika koristeći LastPass arhitekturu nultog znanja. Međutim, pošto LastPass nije sledio OWASP preporuke i koristio je samo oko trećinu Password-Based Derivation Function 2 (PBKDF2) koja bi se idealno trebala koristiti, proizvođač je malo olakšao probijanje glavne lozinke koja štiti bazu.

Zaključak

Uprkos spekulacijama na Internetu i nepotkrepljenim izvještajima da su zlonamjerni akteri uspeli da provale u preuzete baze lozinki, LastPass je nastavio da umiruje kupce izjavama da će biti potrebni milioni godina da se provali glavna lozinka. Slično ranijim izjavama iz kompanije LastPass, sada se ispostavlja da to možda nije sasvim tačno, a trag sumnjivih transakcija ukazuje na dokaz da se podaci uzeti iz LastPass baza koriste za krađu digitalne imovine. LastPass nije komentarisao ove incidente, pozivajući se na tekuće istrage o prošlogodišnjim incidentima.

Zaštita

Zlonamjerni akteri su imali dovoljno vremena da koriste ukradene ključeve za šifrovanje da otvore ukradene baze lozinki.

Iako ima smisla da bi lopovi prvo ciljali lako prenosiva kripto sredstva, takođe je vjerovatno da su već otkrili sve korisničke sačuvane LastPass lozinke. Nemaju vremenskih ograničenja i na kraju će doći do manje vrijednih resursa. Iako ne mogu direktno da ciljaju naloge elektronske pošte, PayPal novčanike ili banke, ove informacije se mogu upakovati i prodati drugim zlonamjernim akterima koji su se specijalizovali za takve napade.

Ako je neka od lozinki uskladištenih u LastPass bazi pre 2022. godine još uvijek u upotrebi,  korisnici bi trebalo da je promjene odmah.