Những điểm chính:
Vào tháng 8 năm 2022, dịch vụ quản lý mật khẩu LastPass đã trải qua một cuộc tấn công mạng và thông tin đăng nhập được mã hóa của người dùng đã bị lấy đi.
Thông qua việc sử dụng phương pháp đoán mạnh mẽ, kẻ tấn công có thể giải mã được mật khẩu trang web của một số người dùng LastPass.
Mật khẩu chính được sử dụng để mã hóa kho tiền, khiến kẻ tấn công không thể đọc được chúng.
Tổ chức đã tiến hành một cuộc điều tra và phát hiện ra rằng kẻ tấn công đã sử dụng kiến thức kỹ thuật này để hack thiết bị của một nhân viên khác nhằm đánh cắp mã thông báo truy cập vào dữ liệu khách hàng được lưu giữ trong hệ thống lưu trữ đám mây.
Trình quản lý mật khẩu Lastpass đã phát hiện những kẻ tấn công không xác định truy cập vào máy chủ của họ và đánh cắp dữ liệu khách hàng vào tháng 8 năm 2022. Dữ liệu này chứa địa chỉ IP mà họ sử dụng dịch vụ của công ty khóa mật khẩu, mật khẩu, tên người dùng, tên công ty, v.v.
Công ty cho biết trong một tuyên bố vào ngày 23 tháng 12 rằng kho tiền của khách hàng đã được sao chép tất cả thông tin của họ, Lastpass cũng đã xác nhận. Khi kẻ trộm giành được quyền truy cập vào một số thông tin về mã nguồn từ bộ phận phát triển của Lastpass, hành vi trộm cắp dữ liệu đã diễn ra. Một nhân viên khác là mục tiêu của việc đánh cắp mã nguồn và họ có thể lấy được mật khẩu và khóa để mở khối lưu trữ dựa trên đám mây của Lastpass.
Thông báo về sự cố bảo mật gần đây – Blog LastPas#lastpasshack#hack#lastpass#infosec https://t.co/sQALfnpOTy
– Thomas Zickell (@thomaszickell) Ngày 23 tháng 12 năm 2022
Các kho tiền được mã hóa của một số khách hàng cũng bị lấy đi. Mỗi khách hàng sử dụng dịch vụ LastPass sẽ lưu trữ mật khẩu trang web của họ trong các kho lưu trữ này. May mắn thay, các kho tiền có Mật khẩu chính mã hóa chúng, ngăn chặn kẻ xâm nhập đọc chúng.
Tuyên bố của công ty nhấn mạnh việc sử dụng mã hóa tiên tiến của dịch vụ, điều này khiến kẻ tấn công gặp khó khăn lớn khi xem các tệp vault mà không có Mật khẩu chính.
“Các trường được mã hóa này vẫn được bảo mật bằng mã hóa AES 256-bit và chỉ có thể được giải mã bằng khóa mã hóa duy nhất lấy từ mật khẩu chính của mỗi người dùng bằng kiến trúc Zero Knowledge của chúng tôi. Xin nhắc lại, LastPass không bao giờ biết mật khẩu chính và không được LastPass lưu trữ hoặc duy trì.”
Mặc dù vậy, LastPass thừa nhận rằng nếu người dùng đã chọn Mật khẩu chính yếu, kẻ tấn công có thể sử dụng vũ lực để đoán nó, giải mã kho tiền và lấy được tất cả mật khẩu trang web của người dùng.
Cuộc tấn công LastPass chứng minh một quan điểm mà các nhà phát triển Web3 đã tranh luận trong nhiều năm: thông tin đăng nhập vào ví blockchain sẽ thay thế cơ chế đăng nhập tên người dùng và mật khẩu thông thường.
Như Coincu đã báo cáo, ConsenSys đã cập nhật chính sách quyền riêng tư của mình sau Uniswap. Infura sẽ thu thập dữ liệu IP và địa chỉ ví Ethereum của người dùng khi họ gửi giao dịch khi họ sử dụng Infura làm nhà cung cấp RPC mặc định trong ví MetaMask.
Điều này khiến cộng đồng tức giận vì thông tin của họ sẽ bị lộ, và có thể nói tính phi tập trung đang dần biến mất khỏi MetaMask. Ngay lập tức, ConsenSys phản hồi lại người dùng rằng họ chỉ thu thập dữ liệu khi người dùng thực hiện giao dịch.
TUYÊN BỐ TỪ CHỐI TRÁCH NHIỆM: Thông tin trên trang web này được cung cấp dưới dạng bình luận chung về thị trường và không phải là lời khuyên đầu tư. Chúng tôi khuyến khích bạn tự nghiên cứu trước khi đầu tư.
Hãy cùng chúng tôi theo dõi tin tức: https://linktr.ee/coincu
Trang web: coincu.com
Harold
Tin tức Coincu