Aproximativ 25 de atacuri de recuperare a parolelor descoperite de experții în securitate cibernetică, potrivit unui studiu în domeniu
' fill='%23FBBC05' d='M0 37V11l17 13z'/%3e%3cpath clip-path='url(%23b)' fill='%23EA4335' d='M0 11l17 13 7-6.1L48 14V0H0z'/%3e%3cpath clip-path='url(%23b)' fill='%2334A853' d='M0 37l30-23 7.9 1L48 0v48H0z'/%3e%3cpath clip-path='url(%23b)' fill='%234285F4' d='M48 48L17 24l-4-3 35-10z'/%3e%3c/svg%3e){kind=small}
:format(webp)/https://playtech.ro/wp-content/uploads/2026/02/atacuri-cibernetice.jpg)
Un studiu academic publicat în februarie 2026 arată că mai mulți manageri populari de parole din cloud pot fi vulnerabili la atacuri de recuperare a parolelor în anumite condiții. Cercetarea identifică 25 de scenarii distincte care vizează Bitwarden, LastPass și Dashlane.
Analiza a fost realizată de cercetători de la ETH Zurich și Università della Svizzera italiana, care au evaluat promisiunile de securitate bazate pe criptare de tip „zero-knowledge” (ZKE), scrie The Hacker News.
Potrivit autorilor, majoritatea atacurilor identificate ar putea permite recuperarea parolelor, iar unele pot duce chiar la compromiterea completă a tuturor seifurilor digitale (vault-uri) din cadrul unei organizații.
Ce este criptarea „zero-knowledge” și unde apar problemele
Modelul zero-knowledge presupune că furnizorul serviciului nu are acces la datele utilizatorilor, acestea fiind stocate într-o formă criptată care poate fi deblocată doar cu cheia deținută de utilizator.
Conceptul diferă de criptarea end-to-end (E2EE), care protejează datele în tranzit, în timp ce ZKE vizează în special stocarea sigură a informațiilor.
Cercetătorii au analizat scenariul unui server malițios, adică ipoteza în care infrastructura furnizorului este compromisă sau acționează în mod abuziv.
În acest context, au fost descoperite 12 atacuri distincte împotriva Bitwarden, șapte împotriva LastPass și șase împotriva Dashlane. Împreună, aceste servicii deservesc peste 60 de milioane de utilizatori și aproximativ 125.000 de companii.
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/Bogdan-Albu_Kaspersky-316x158.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/05/Razboi-cibernetic-puteri-mondiale-hacking-316x158.jpg)
Vulnerabilitățile identificate sunt grupate în patru categorii principale:
- Exploatarea mecanismelor de recuperare a contului de tip „key escrow”, care pot afecta confidențialitatea.
- Probleme legate de criptarea la nivel de element (item-level encryption), unde metadatele necriptate sau neautentificate pot permite manipularea informațiilor.
- Exploatarea funcțiilor de partajare pentru a afecta integritatea și confidențialitatea vault-urilor.
- Atacuri de tip downgrade, generate de compatibilitatea cu metode criptografice vechi.
Reacția companiilor: care sunt măsurile luate, de fapt
Studiul menționează și 1Password, care ar fi vulnerabil la unele atacuri privind criptarea la nivel de element și funcțiile de partajare.
Compania a transmis însă că aceste aspecte țin de limitări arhitecturale deja documentate public și că nu au fost identificate vectori de atac noi față de documentația existentă.
Reprezentanții 1Password au subliniat utilizarea protocolului Secure Remote Password (SRP), care permite autentificarea fără transmiterea cheilor de criptare către servere, reducând riscul anumitor atacuri server-side.
În ceea ce privește celelalte servicii, toate au anunțat măsuri de atenuare a riscurilor. Dashlane a confirmat că a eliminat suportul pentru metode criptografice vechi în versiunea 6.2544.1 a extensiei sale, lansată în noiembrie 2025, pentru a preveni atacuri de tip downgrade ce ar putea compromite parole master slabe.
Bitwarden a declarat că majoritatea problemelor identificate sunt deja remediate sau în curs de remediere, iar o parte dintre ele reprezintă decizii de design considerate necesare pentru funcționalitatea produsului.
La rândul său, LastPass a anunțat că lucrează la consolidarea garanțiilor de integritate criptografică pentru a lega mai strict elementele, câmpurile și metadatele din vault-uri.
Până în prezent, nu există dovezi că aceste vulnerabilități ar fi fost exploatate în atacuri reale. Totuși, studiul evidențiază complexitatea implementării corecte a criptării zero-knowledge și necesitatea evaluării constante a arhitecturii de securitate, mai ales în scenarii în care serverul nu poate fi considerat implicit de încredere.
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1667480684/77c65c6b63ea59b3db42c749512d7a00-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1737978465/8f07284dcd0021fdeec0e6d00a019f24-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1737972417/4296d57ac990f2255d6e96d2aa1e3809-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1646818613/642af41f1978ad6c1363e94ec649a4eb-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1683783849/9577a07b8e1cf2d60e2adb4040c9b6d3-o.png)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/04/1610191967/3e1e9c8604d18a7adf9a19a95f891678-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1778138107/e9574ab632b283a591fd6bcdb65f9086-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1778137329/f0f751b66c8275907d38709f45ea6f0d-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/Taxa-pentru-noul-buletin-electronic.-Data-de-la-care-romanii-vor-fi-nevoiti-sa-plateasca-pentru-el.webp)
:format(webp)/https://playtech.ro/wp-content/uploads/2024/04/hbo-max.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/Cati-romani-castiga-sub-salariul-mediu-net-de-5.843-de-lei.-Datele-care-arata-realitatea-din-piata-muncii.webp)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/A-platit-450-de-euro-pentru-un-mic-dejun-fara-sa-stie.-Cum-a-fost-pacalit-un-pensionar-timp-de-doi-ani.jpg)