ثغرات في مديري كلمات المرور السحابية ^{CEFR B2}

يعتمد كثير من المستخدمين على مديري كلمات المرور لتخزين عشرات أو مئات كلمات المرور والوصول إليها من أجهزة متعددة، وتستخدم الخدمات السحابية خزائن مشفّرة لحفظ معلومات حساسة مثل بيانات الدخول المصرفي وبطاقات الائتمان. مع ذلك، يصبح أمان هذه الخدمات محور اهتمام لأن الخوادم قد تُستغل أو تتصرف بخبث.

أجرى باحثون من مجموعة التشفير التطبيقي في ETH Zurich دراسة شملت ثلاث خدمات شائعة هي Bitwarden وLastpass وDashlane. ضمّ الفريق Matilda Backendal وMatteo Scarlata وKenneth Paterson وGiovanni Torrisi، ويعمل كل من Backendal وTorrisi حاليًا في Università della Svizzera italiana في لوغانو. تخدم الشركات الثلاث معًا حوالي 60 million مستخدمًا وتمتلك حصة سوقية تبلغ 23%.

بنى الباحثون خوادم تصرفت مثل خوادم مخترقة وفرضوا نموذج تهديد للخادم الخبيث. أثبتوا إمكانية تنفيذ 12 هجومًا ضد Bitwarden و7 ضد LastPass و6 ضد Dashlane. تنوّعت الهجمات بين استهداف خزائن مستخدمين محددين إلى اختراق كامل لخزائن منظمة، وفي معظم الحالات تمكن الفريق من الوصول إلى كلمات المرور وأحيانًا تعديلها. اعتمدت الهجمات على تفاعلات بسيطة من المستخدم مثل تسجيل الدخول وفتح الخزينة ومزامنة البيانات.

أبدى الباحثون استغرابهم من شدة الثغرات، وذكروا أن بنية كود غير اعتيادية وإضافات ميزات سهلة الاستخدام زادت مساحة الهجوم، كما أن بعض المزودين لا يزالون يستخدمون تقنيات تشفير قديمة من التسعينات. أوصى الفريق بتحديث الأنظمة للمستخدمين الجدد، وإنشاء خيار ترحيل للمستخدمين الحاليين، وزيادة الشفافية، وتفضيل مدراء يخضعون لتدقيق خارجي وتفعيل التشفير الشامل افتراضيًا. اتبع الباحثون الإفصاح المسؤول ومنحوا الشركات 90 يومًا للإصلاح؛ تعاون معظم المزودين لكن لم يتحرك الجميع بسرعة لأن المطورين يخشون أن تفقد العملاء الوصول إلى بياناتهم. قال Paterson: "نريد أن يساعد عملنا في إحداث تغيير في هذه الصناعة." المصدر: ETH Zurich.