كشفت دراسة أمنية حديثة عن وجود ثغرات خطيرة في أشهر مديري كلمات المرور السحابية، مما يعرض بيانات ملايين المستخدمين والشركات لخطر السرقة والاختراق.
وأوضح التقرير أن تطبيقات شهيرة مثل بيت واردن (Bitwarden) و داش لين (Dashlane) و لاست باس (LastPass) عرضة لهجمات استعادة كلمة المرور تحت ظروف معينة.
ما هي تفاصيل الثغرات الأمنية الجديدة؟
أشار الباحثون في الدراسة إلى أن خطورة الهجمات تتراوح بين انتهاكات سلامة البيانات وصولاً إلى الاختراق الكامل لجميع الخزائن (Vaults) في المؤسسات.
ووفقاً لما رصده فريق تيكبامين، فإن معظم هذه الهجمات تسمح للمهاجمين باستعادة كلمات المرور المخزنة، مما ينسف الوعود الأمنية التي تقدمها هذه الشركات للمستخدمين.
كيف تعمل تقنية التشفير الصفري (ZKE)؟
تركز الدراسة التي أجراها باحثون من المعهد الفيدرالي للتكنولوجيا في زيورخ وجامعة سويسرا الإيطالية على اختبار وعود "تشفير المعرفة الصفرية" (ZKE) التي تروج لها هذه التطبيقات.
تختلف هذه التقنية عن التشفير من طرف إلى طرف (E2EE) في النقاط التالية:
- E2EE: يركز على تأمين البيانات أثناء نقلها عبر الشبكة.
- ZKE: يركز على تخزين البيانات بشكل مشفر بحيث لا يمكن لأحد الوصول إليها إلا من يملك المفتاح (المستخدم).
ومع ذلك، كشف البحث عن أنماط تصميم خاطئة ومفاهيم تشفير مغلوطة أدت إلى ثغرات أمنية حرجة رغم محاولات الشركات لتعزيز الخصوصية.
كم عدد الهجمات التي استهدفت بيت واردن ولاست باس؟
كشفت الأبحاث عن إجمالي 25 هجوماً متميزاً استهدف هذه التطبيقات الشهيرة التي تخدم أكثر من 60 مليون مستخدم حول العالم.
توزعت الثغرات المكتشفة كالتالي:
- بيت واردن (Bitwarden): 12 هجوماً مختلفاً.
- لاست باس (LastPass): 7 هجمات متميزة.
- داش لين (Dashlane): 6 هجمات متنوعة.
تتنوع هذه الهجمات بين استهداف خزائن مستخدمين محددين إلى اختراق شامل لجميع الخزائن المرتبطة بمؤسسة كاملة، مما يشكل خطراً كبيراً على قطاع الأعمال.
هل تطبيق 1Password آمن من هذه الهجمات؟
لم يغفل التقرير ذكر تطبيق ون باسوورد (1Password)، حيث وجد أنه عرضة أيضاً لهجمات تتعلق بتشفير الخزائن على مستوى العناصر ومشاركة البيانات.
وفي رد رسمي، صرح جاكوب دي بريست، كبير مسؤولي أمن المعلومات في 1Password، بأن الشركة راجعت الورقة البحثية ولم تجد أي نواقل هجوم جديدة غير تلك الموثقة سابقاً في ورقة تصميم الأمان الخاصة بهم.
وأكدت الشركة التزامها بتعزيز بنيتها الأمنية وتقييمها باستمرار ضد نماذج التهديد المتقدمة، بما في ذلك سيناريوهات الخوادم الخبيثة التي ذكرتها الدراسة.
