စကားဝှက်စီမံခန့်ခွဲမှုဝန်ဆောင်မှု LastPass သည် 2022 ခုနှစ် ဩဂုတ်လတွင် ဟက်ခ်ခံရပြီး တိုက်ခိုက်သူသည် သုံးစွဲသူများ၏ ကုဒ်ဝှက်ထားသော စကားဝှက်များကို ခိုးယူခဲ့ကြောင်း ကုမ္ပဏီ၏ ဒီဇင်ဘာ ၂၃ ရက်ထုတ်ပြန်ချက်တွင် ဖော်ပြထားသည်။ ဆိုလိုသည်မှာ တိုက်ခိုက်သူသည် LastPass အသုံးပြုသူများ၏ ဝဘ်ဆိုဒ်စကားဝှက်အချို့ကို ရိုင်းစိုင်းစွာ မှန်းဆခြင်းဖြင့် ဖျက်နိုင်မည်ဖြစ်သည်။
မကြာသေးမီက လုံခြုံရေး အဖြစ်အပျက် သတိပေးချက် - LastPass ဘလော့ဂ်#lastpasshack #ဟက်ခ် #နောက်ဆုံးပတ် #အချက်အလက်များ https://t.co/sQALfnpOTy
— Thomas Zickell (@thomaszickell) ဒီဇင်ဘာလတွင် 23, 2022
LastPass သည် ၂၀၂၂ ခုနှစ် ဩဂုတ်လတွင် ပေါက်ကြားမှုကို ပထမဆုံးထုတ်ဖော်ခဲ့သော်လည်း ထိုအချိန်တွင် တိုက်ခိုက်သူသည် ဖောက်သည်ဒေတာမဟုတ်ဘဲ အရင်းအမြစ်ကုဒ်နှင့် နည်းပညာဆိုင်ရာ အချက်အလက်များကိုသာ ရရှိခဲ့ကြောင်း ထင်ရှားသည်။ သို့သော်၊ တိုက်ခိုက်သူသည် cloud သိုလှောင်မှုစနစ်တွင် သိမ်းဆည်းထားသော သုံးစွဲသူဒေတာများအတွက် သော့များရယူရန် အသုံးပြုသည့် အခြားဝန်ထမ်း၏စက်ပစ္စည်းကို တိုက်ခိုက်ရန် ဤနည်းပညာဆိုင်ရာအချက်အလက်များကို အသုံးပြုခဲ့ကြောင်း ကုမ္ပဏီမှ စုံစမ်းစစ်ဆေးတွေ့ရှိခဲ့သည်။
ရလဒ်အနေဖြင့်၊ ကုဒ်ဝှက်ထားခြင်းမရှိသော သုံးစွဲသူ မက်တာဒေတာများ ဖြစ်ခဲ့သည်။ ထင်ရှား တိုက်ခိုက်သူထံသို့ “ကုမ္ပဏီအမည်များ၊ အသုံးပြုသူအမည်များ၊ ငွေပေးချေသည့်လိပ်စာများ၊ အီးမေးလ်လိပ်စာများ၊ တယ်လီဖုန်းနံပါတ်များနှင့် LastPass ဝန်ဆောင်မှုကို သုံးစွဲသူများဝင်ရောက်နေသည့် IP လိပ်စာများ” အပါအဝင် တိုက်ခိုက်သူထံ။
ထို့အပြင် အချို့သော ဖောက်သည်များ၏ ကုဒ်ဝှက်ထားသော အခန်းများ ခိုးယူခံရသည်။ ဤအခန်းများတွင် အသုံးပြုသူတိုင်း LastPass ဝန်ဆောင်မှုဖြင့် သိမ်းဆည်းထားသည့် ဝဘ်ဆိုက်စကားဝှက်များ ပါဝင်သည်။ ကံကောင်းစွာဖြင့်၊ အခန်းများကို တိုက်ခိုက်သူများသည် ၎င်းတို့ကို ဖတ်နိုင်စေရန် တားဆီးပေးမည့် Master Password ဖြင့် စာဝှက်ထားသည်။
LastPass မှ ထုတ်ပြန်ချက်တွင် အဆိုပါ ဝန်ဆောင်မှုသည် Master Password ကို မသိဘဲ တိုက်ခိုက်သူသည် ဗွန်ဖိုင်များကို ဖတ်ရန် အလွန်ခက်ခဲစေရန် ဝန်ဆောင်မှုသည် ခေတ်မီသော ကုဒ်ကုဒ်ကို အသုံးပြုထားကြောင်း အလေးပေးဖော်ပြထားသည်-
“ဤစာဝှက်ထားသောကွက်လပ်များကို 256-bit AES ကုဒ်ဝှက်စနစ်ဖြင့် လုံခြုံစွာထားရှိပြီး ကျွန်ုပ်တို့၏ Zero Knowledge ဗိသုကာကို အသုံးပြု၍ သုံးစွဲသူတစ်ဦးစီ၏ မာစတာစကားဝှက်မှ ဆင်းသက်လာသော ထူးခြားသောကုဒ်ဝှက်ကီးတစ်ခုဖြင့်သာ စာဝှက်နိုင်ပါသည်။ သတိပေးချက်အနေဖြင့်၊ မာစတာစကားဝှက်ကို LastPass တွင် ဘယ်သောအခါမှ မသိဘဲ LastPass မှ သိမ်းဆည်းခြင်း သို့မဟုတ် ထိန်းသိမ်းထားခြင်းမရှိပါ။
မည်သို့ပင်ဆိုစေကာမူ LastPass သည် ဖောက်သည်တစ်ဦးသည် အားနည်းသော Master Password ကိုအသုံးပြုပါက၊ တိုက်ခိုက်သူသည် ဤစကားဝှက်ကို ခန့်မှန်းရန် brute force ကိုအသုံးပြုကာ တဲကိုကုဒ်ကုဒ်ဝှက်ရန်နှင့် LastPass မှဖောက်သည်များ၏ဝဘ်ဆိုဒ်စကားဝှက်များအားလုံးကို ရရှိစေနိုင်ကြောင်း ဝန်ခံပါသည်။
"သင်၏ master password သည် [ကုမ္ပဏီမှအကြံပြုထားသည့်အကောင်းဆုံးအလေ့အကျင့်များ] ကိုအသုံးမပြုပါက၊ ၎င်းသည်မှန်ကန်စွာခန့်မှန်းရန်ကြိုးစားမှုအရေအတွက်ကိုသိသိသာသာလျှော့ချလိမ့်မည်ဖြစ်ကြောင်းသတိပြုရန်အရေးကြီးပါသည်။ ဤအခြေအနေတွင်၊ အပိုလုံခြုံရေးအစီအမံတစ်ခုအနေဖြင့် သင်သိမ်းဆည်းထားသော ဝဘ်ဆိုက်များ၏ စကားဝှက်များကို ပြောင်းလဲခြင်းဖြင့် အန္တရာယ်အနည်းဆုံးဖြစ်အောင် စဉ်းစားသင့်သည်။"
စကားဝှက်မန်နေဂျာဟက်ခ်များကို Web3 ဖြင့်ဖယ်ရှားနိုင်ပါသလား။
LastPass exploit သည် Web3 developer များ နှစ်ပေါင်းများစွာ ပြုလုပ်လာခဲ့သည့် တိုင်ကြားချက်ကို သရုပ်ဖော်သည်- ရိုးရာအသုံးပြုသူအမည်နှင့် စကားဝှက်ဝင်ရောက်ခြင်းစနစ်သည် blockchain ပိုက်ဆံအိတ်အကောင့်ဝင်ခြင်းများကို နှစ်သက်သဘောကျစေရန် ဖယ်ရှားပစ်ရန် လိုအပ်သည်။
သမားများထံမှ သိရသည်။ crypto ပိုက်ဆံအိတ် အကောင့်ဝင်ပါ။ရိုးရာစကားဝှက် လော့ဂ်အင်များသည် cloud ဆာဗာများတွင် သိမ်းဆည်းထားရန် စကားဝှက်များကို ဟက်ကာများ လိုအပ်သောကြောင့် အခြေခံအားဖြင့် လုံခြုံမှုမရှိပေ။ ဤ hash များကို ခိုးယူပါက အက်ကွဲသွားနိုင်သည်။ ထို့အပြင်၊ အသုံးပြုသူတစ်ဦးသည် ဝဘ်ဆိုက်များစွာအတွက် တူညီသောစကားဝှက်ကို အားကိုးပါက၊ ခိုးယူထားသော စကားဝှက်တစ်ခုသည် အခြားအရာအားလုံးကို ချိုးဖောက်မှုဆီသို့ ဦးတည်သွားနိုင်သည်။ အခြားတစ်ဖက်တွင်၊ အသုံးပြုသူအများစုသည် မတူညီသောဝဘ်ဆိုဒ်များအတွက် စကားဝှက်များစွာကို မမှတ်မိနိုင်ပါ။
ဤပြဿနာကိုဖြေရှင်းရန် LastPass ကဲ့သို့သော စကားဝှက်စီမံခန့်ခွဲမှုဝန်ဆောင်မှုများကို တီထွင်ခဲ့သည်။ သို့သော် ၎င်းတို့သည် ကုဒ်ဝှက်ထားသော စကားဝှက်ကို သိမ်းဆည်းရန်အတွက် cloud ဝန်ဆောင်မှုများအပေါ်တွင်လည်း အားကိုးပါသည်။ အကယ်၍ တိုက်ခိုက်သူသည် စကားဝှက် မန်နေဂျာ ဝန်ဆောင်မှုမှ စကားဝှက် တဲကို ရယူရန် စီမံပါက၊ ၎င်းတို့သည် အခန်းကို အက်ကွဲစေပြီး အသုံးပြုသူ၏ စကားဝှက်များအားလုံးကို ရယူနိုင်သည်။
Web3 အပလီကေးရှင်းများက ပြဿနာကို ဖြေရှင်းပေးသည်။ ကွဲပြားခြားနားသောနည်းလမ်း။ ၎င်းတို့သည် Metamask သို့မဟုတ် Trustwallet ကဲ့သို့သော ဘရောက်ဆာ အိတ်စတန်းရှင်း ပိုက်ဆံအိတ်များကို အသုံးပြုကာ ကုဒ်ဝှက်ထားသော လက်မှတ်ကို အသုံးပြုကာ cloud တွင် သိမ်းဆည်းထားရန် စကားဝှက်လိုအပ်မှုကို ဖယ်ရှားပေးသည်။
သို့သော် ယခုအချိန်အထိ ဤနည်းလမ်းသည် ဗဟိုချုပ်ကိုင်မှုလျှော့ချထားသော အသုံးချမှုများအတွက်သာ စံသတ်မှတ်ထားခြင်းဖြစ်သည်။ ဗဟိုဆာဗာ လိုအပ်သည့် ရိုးရာအက်ပ်များသည် အကောင့်ဝင်ရန်အတွက် crypto ပိုက်ဆံအိတ်များကို အသုံးပြုနည်းအတွက် လောလောဆယ်တွင် သဘောတူထားသည့်စံနှုန်းတစ်ခု မရှိပါ။
Related: Facebook သည် သုံးစွဲသူဒေတာပေါက်ကြားမှုအတွက် ယူရို ၂၆၅ သန်း ဒဏ်ရိုက်ခဲ့သည်။
သို့သော်လည်း မကြာသေးမီက Ethereum တိုးတက်မှု အဆိုပြုချက် (EIP) သည် ဤအခြေအနေကို ကုစားရန် ရည်ရွယ်သည်။ “EIP-4361” ဟုခေါ်သည်၊ အဆိုပြုချက်သည် ကြိုးစားသည်။ ပေး ဗဟိုချုပ်ကိုင်မှု နှင့် ဗဟိုချုပ်ကိုင်မှု လျှော့ချထားသော အပလီကေးရှင်း နှစ်ခုလုံးအတွက် အလုပ်လုပ်သော ဝဘ်ဝင်ရောက်ခြင်းအတွက် universal standard တစ်ခု။
ဤစံနှုန်းကို Web3 လုပ်ငန်းမှ သဘောတူပြီး အကောင်အထည် ဖော်ပါက၊ ၎င်း၏ အဆိုပြုသူများသည် LastPass ကဲ့သို့ စကားဝှက် လော့ဂ်အင်များကို အပြီးအပိုင် ဖယ်ရှားပစ်နိုင်မည်ဟု ၎င်း၏ အဆိုပြုသူများက မျှော်လင့်ပါသည်။
အရင်းအမြစ်: https://cointelegraph.com/news/lastpass-attacker-stole-password-vault-data-showing-web2-s-limitations