Nghiên cứu phát hiện lỗ hổng ở trình quản lý mật khẩu đám mây ^{CEFR B2}

Trình quản lý mật khẩu đám mây lưu trữ nhiều dữ liệu nhạy cảm, như đăng nhập ngân hàng trực tuyến và thông tin thẻ, trong các kho được mã hóa để người dùng truy cập từ nhiều thiết bị và chia sẻ với gia đình. Nhóm Applied Cryptography Group tại ETH Zurich đã khảo sát ba dịch vụ lớn — Bitwarden, LastPass và Dashlane — mà cùng phục vụ khoảng 60 million users và chiếm 23% thị trường.

Đội nghiên cứu gồm Matilda Backendal, Matteo Scarlata, Kenneth Paterson và Giovanni Torrisi (Backendal và Torrisi hiện làm việc tại Università della Svizzera italiana ở Lugano). Họ áp dụng mô hình mối đe dọa máy chủ độc hại và thiết lập máy chủ mô phỏng trạng thái bị tấn công. Kết quả cho thấy 12 cuộc tấn công nhắm vào Bitwarden, 7 vào LastPass và 6 vào Dashlane. Các cuộc tấn công này, từ đánh cắp kho mật khẩu cá nhân đến xâm phạm toàn bộ kho trong tổ chức, thường lợi dụng các tương tác giản đơn của người dùng như đăng nhập, mở kho, xem mật khẩu hoặc đồng bộ dữ liệu; trong nhiều trường hợp nhóm có thể truy cập và đôi khi thay đổi mật khẩu.

Nhóm bày tỏ ngạc nhiên trước mức độ nghiêm trọng của lỗ hổng. Paterson nói các trình quản lý mật khẩu là mục tiêu hấp dẫn cho hacker có kinh nghiệm, và Scarlata cho rằng các tính năng thân thiện với người dùng như phục hồi mật khẩu và chia sẻ đã làm mã nguồn phức tạp hơn, mở rộng bề mặt tấn công; họ cũng lưu ý nhiều nhà cung cấp vẫn dùng công nghệ mật mã từ thập niên 90.

• Khuyến nghị: cập nhật hệ thống cho khách hàng mới và cho khách hàng hiện tại lựa chọn di chuyển.
• Khuyến nghị: minh bạch về bảo mật và ưu tiên quản lý mật khẩu đã được kiểm toán.
• Khuyến nghị: bật mã hóa đầu cuối theo mặc định.

Nhóm tuân theo thực hành tiết lộ có trách nhiệm, liên hệ với nhà cung cấp trước khi công bố và cho họ 90 ngày để sửa lỗi. Paterson nói: "Chúng tôi muốn công trình của mình góp phần thay đổi ngành này." Nguồn: ETH Zurich.