Η αποκάλυψη του LastPass για την διαρροή κωδικών ασφαλείας καταρρίπτεται από ειδικούς σε θέματα ασφάλειας

Την περασμένη εβδομάδα, λίγο πριν τα Χριστούγεννα, το LastPass δημοσίευσε μια ανακοίνωση βόμβα· ως αποτέλεσμα μιας παραβίασης τον Αύγουστο, που οδήγησε σε άλλη παραβίαση τον Νοέμβριο, οι χάκερ είχαν βάλει στα χέρια τους τα θησαυροφυλάκια κωδικών πρόσβασης των χρηστών. Ενώ η εταιρεία επιμένει ότι τα στοιχεία σύνδεσής σας εξακολουθούν να είναι ασφαλή, ορισμένοι ειδικοί στον τομέα της κυβερνοασφάλειας επικρίνουν έντονα τη δημοσίευσή της, λέγοντας ότι θα μπορούσε να κάνει τους ανθρώπους να αισθάνονται πιο ασφαλείς από ό,τι είναι στην πραγματικότητα και επισημαίνοντας ότι αυτό είναι μόνο το πιο πρόσφατο σε μια σειρά περιστατικών που κάνουν είναι δύσκολο να εμπιστευτείς τον διαχειριστή κωδικών πρόσβασης.

Η δήλωση της 22ας Δεκεμβρίου του LastPass ήταν «γεμάτη παραλείψεις, μισές αλήθειες και ξεκάθαρα ψέματα», αναφέρει μια ανάρτηση ιστολογίου από τον Wladimir Palant, έναν ερευνητή ασφαλείας γνωστό ότι βοήθησε στην αρχική ανάπτυξη του AdBlock Pro, μεταξύ άλλων. Μερικές από τις επικρίσεις του αφορούν τον τρόπο με τον οποίο η εταιρεία έχει πλαισιώσει το περιστατικό και πόσο διαφανές είναι· κατηγορεί την εταιρεία ότι προσπάθησε να παρουσιάσει το περιστατικό του Αυγούστου όπου το LastPass λέει ότι «κλάπηκαν μέρος του πηγαίου κώδικα και τεχνικές πληροφορίες» ως ξεχωριστή παραβίαση, όταν στην πραγματικότητα λέει ότι η εταιρεία «απέτυχε να περιορίσει» την παραβίαση.

Υπογραμμίζει επίσης την παραδοχή του LastPass ότι τα δεδομένα που διέρρευσαν περιλάμβαναν "τις διευθύνσεις IP από τις οποίες οι πελάτες είχαν πρόσβαση στην υπηρεσία LastPass", λέγοντας ότι θα μπορούσε να επιτρέψει στους δυνητικά επιτιθέμενους "να δημιουργήσουν ένα πλήρες προφίλ κίνησης" πελατών εάν το LastPass καταγράφει κάθε διεύθυνση IP που χρησιμοποιούσατε με την υπηρεσία του.

Ένας άλλος ερευνητής ασφάλειας, ο Jeremi Gosney, έγραψε μια μεγάλη ανάρτηση στο Mastodon εξηγώντας τη σύστασή του να μετακινηθεί σε άλλο διαχειριστή κωδικών πρόσβασης. «Ο ισχυρισμός του LastPass περί «μηδενικής γνώσης» είναι ένα μεγάλο ψέμα», λέει, υποστηρίζοντας ότι η εταιρεία έχει «όσες γνώσεις μπορεί να έχει ένας διαχειριστής κωδικών πρόσβασης».

Το LastPass ισχυρίζεται ότι η αρχιτεκτονική «μηδενικής γνώσης» κρατά τους χρήστες ασφαλείς, επειδή η εταιρεία δεν έχει ποτέ πρόσβαση στον κύριο κωδικό πρόσβασής σας, κάτι που θα χρειαζόταν οι χάκερ για να ξεκλειδώσουν τα κλεμμένα θησαυροφυλάκια. Αν και ο Gosney δεν αμφισβητεί αυτό το συγκεκριμένο σημείο, λέει ότι η φράση είναι παραπλανητική. "Νομίζω ότι οι περισσότεροι άνθρωποι οραματίζονται το θησαυροφυλάκιό τους ως ένα είδος κρυπτογραφημένης βάσης δεδομένων όπου προστατεύεται ολόκληρο το αρχείο, αλλά όχι — με το LastPass, το θησαυροφυλάκιό σας είναι ένα αρχείο απλού κειμένου και μόνο μερικά επιλεγμένα πεδία είναι κρυπτογραφημένα."

Ο Palant σημειώνει επίσης ότι η κρυπτογράφηση αξίζει μόνο εάν οι χάκερ δεν μπορούν να σπάσουν τον κύριο κωδικό πρόσβασής σας, που αποτελεί την κύρια άμυνα του LastPass στην ανάρτησή του: εάν χρησιμοποιείτε τις οδηγίες τις υπηρεσίας για το μήκος και την ενίσχυση του κωδικού πρόσβασης και δεν τον έχετε ξαναχρησιμοποιήσει αλλού, "Θα χρειαστούν εκατομμύρια χρόνια για να βρεθεί ο κύριος κωδικός πρόσβασης χρησιμοποιώντας τη διαθέσιμη τεχνολογία εύρεσης κωδικών πρόσβασης", έγραψε ο Karim Toubba, Διευθύνων Σύμβουλος της εταιρείας.

«Αυτό προετοιμάζει το έδαφος για να κατηγορηθούν οι πελάτες», γράφει ο Palant, λέγοντας ότι «η LastPass θα πρέπει να γνωρίζει ότι οι κωδικοί πρόσβασης θα αποκρυπτογραφηθούν για τουλάχιστον ορισμένους από τους πελάτες της. Και έχουν ήδη μια βολική εξήγηση: αυτοί οι πελάτες σαφώς δεν ακολούθησαν τις βέλτιστες πρακτικές τους». Ωστόσο, επισημαίνει επίσης ότι το LastPass δεν έχει επιβάλει απαραίτητα αυτά τα πρότυπα. Παρά το γεγονός ότι έκανε τους κωδικούς πρόσβασης 12 χαρακτήρων ως προεπιλογή το 2018, ο Palant λέει: «Μπορώ να συνδεθώ με τον κωδικό πρόσβασής μου οκτώ χαρακτήρων χωρίς προειδοποιήσεις ή προτροπές να τον αλλάξω».