LingVo.club
📖+40 XP
🎧+25 XP
+45 XP
Уязвимости в облачных менеджерах паролей (Уровень B2) — a combination combination lock attached to a fence

Уязвимости в облачных менеджерах паролейCEFR B2

24 февр. 2026 г.

Адаптировано по материалам ETH Zurich, Futurity CC BY 4.0

Фото: Stan Hutter, Unsplash

Уровень B2 – выше среднего
4 мин
234 слов

Исследование показывает, что облачные менеджеры паролей остаются привлекательной целью для опытных хакеров из‑за большого количества чувствительных данных в их хранилищах. Группа прикладной криптографии (Applied Cryptography Group) при ETH Zurich провела детальный анализ трёх популярных сервисов — Bitwarden, Lastpass и Dashlane — и обнаружила серьёзные проблемы безопасности.

В состав команды вошли Matilda Backendal, Matteo Scarlata, Kenneth Paterson и Giovanni Torrisi; Backendal и Torrisi сейчас работают в Università della Svizzera italiana в Лугано. Вместе эти три провайдера обслуживают около 60 миллионов пользователей и занимают примерно 23% рынка. Исследователи приняли модель угроз «злонамеренный сервер» и имитировали взломанные серверы, после чего продемонстрировали 12 атак на Bitwarden, 7 на LastPass и 6 на Dashlane. Атаки охватывали сценарии от компрометации отдельных пользовательских хранилищ до полного взлома всех хранилищ организации.

Команда отметила, что все атаки использовали обычные взаимодействия пользователей — вход в систему, открытие хранилища, просмотр паролей и синхронизацию. Scarlata указал на необычную архитектуру кода и то, что функции вроде восстановления пароля и совместного доступа увеличили поверхность атаки. Исследователи также подчеркнули, что многие провайдеры продолжают опираться на криптографию старых стандартов.

Учёные следовали практике ответственного раскрытия и связались с компаниями до публикации, дав им 90 дней на исправления. Paterson отметил, что большинство провайдеров сотрудничали, но не все действовали быстро, а разработчики опасаются, что обновления могут привести к потере доступа пользователей к их данным.

  • Рекомендации: обновлять системы для новых пользователей.
  • Предлагать существующим клиентам варианты миграции.
  • Делать прозрачной политику безопасности и по умолчанию включать сквозное шифрование.

Сложные слова

  • прикладная криптографияобласть криптографии для практических задач и приложений
    прикладной криптографии
  • модель угрозописание возможных атак и источников риска
  • злонамеренный серверсервер, контролируемый злоумышленником для атак
    «злонамеренный сервер»
  • компрометациянарушение безопасности и получение несанкционированного доступа
    компрометации
  • поверхность атакивсе точки, через которые возможна атака
  • сквозное шифрованиешифрование данных от отправителя до получателя
  • ответственное раскрытиесообщение об уязвимости разработчику до публикации
    ответственного раскрытия
  • миграцияперенос данных или пользователей на новую систему
    миграции

Подсказка: наведите, сфокусируйтесь или нажмите на выделенные слова, чтобы увидеть краткие определения прямо во время чтения или прослушивания.

Вопросы для обсуждения

  • Какие преимущества и риски вы видите в практике ответственного раскрытия уязвимостей, описанной в статье?
  • Как компании, которые предоставляют менеджеры паролей, могут уменьшить риск потери доступа пользователей при обновлениях?
  • Как по‑вашему влияет по умолчанию включенное сквозное шифрование на безопасность и удобство пользователей?

Похожие статьи

В Индии растут потери урожая из‑за климата и вредителей (Уровень B2)
9 янв. 2026 г.

В Индии растут потери урожая из‑за климата и вредителей

В Индии урожай всё чаще теряется из‑за несезонных дождей, вредителей, загрязнения и плохих условий хранения. Проблемы снижают объёмы и качество зерна и угрожают доходам и здоровью фермеров.

Уровень
Наблюдение с помощью ИИ в Индии (Уровень B2)
23 апр. 2026 г.

Наблюдение с помощью ИИ в Индии

Быстрое внедрение ИИ в Индии вызвало обеспокоенность о приватности и гражданских правах. На саммите в Нью‑Дели и в городских районах появилось массовое наблюдение с распознаванием лиц, а правозащитники требуют законов и контроля.

Уровень
Точные прогнозы погоды могут снизить смертность от жары (Уровень B2)
26 апр. 2026 г.

Точные прогнозы погоды могут снизить смертность от жары

Исследование показывает: более точные и своевременные прогнозы дают людям время защитить здоровье и при благоприятном развитии технологий могут снизить число смертей от жары к 2100 году. Авторы используют данные наблюдений и моделирование.

Уровень
Переработка литий‑ионных батарей без кислот (Уровень B2)
28 нояб. 2025 г.

Переработка литий‑ионных батарей без кислот

Учёные Rice University предложили метод FJH‑ClO: двухэтапное вспышечное нагревание с хлорированием и окислением для разделения лития и переходных металлов. Метод уменьшает расход химикатов, энергию и объём сточных вод.

Уровень
Как ИИ меняет медицинскую помощь в субсахарской Африке (Уровень B2)
5 февр. 2026 г.

Как ИИ меняет медицинскую помощь в субсахарской Африке

Искусственный интеллект уже помогает ставить диагнозы и ускорять доставку медицинских услуг в некоторых частях субсахарской Африки. Проекты показывают снижение ошибок и более быструю помощь, но остаются проблемы с регулированием, финансированием и безопасностью данных.

Уровень