كشفت دراسة حديثة عن وجود ثغرات أمنية في عدد من مديري كلمات المرور السحابيين، بما في ذلك Bitwarden و Dashlane و LastPass، مما يجعلها عرضة لهجمات استعادة كلمات المرور في ظروف معينة. تمثل هذه الثغرات تحدياً هاماً للأمن السيبراني، خاصة في ظل الاعتماد المتزايد على هذه الأدوات لحفظ المعلومات الحساسة.
وفقًا للباحثين، تتراوح خطورة هذه الهجمات من انتهاكات سلامة البيانات إلى الاختراق الكامل لجميع الخزائن المشفرة داخل المؤسسة، مع العلم أن معظم هذه الهجمات تسمح باستعادة كلمات المرور. يأتي هذا الكشف في وقت تسعى فيه الشركات إلى تعزيز حمايتها الرقمية.
ثغرات مديري كلمات المرور السحابيين
تستهدف هذه الهجمات خادمًا خبيثًا مفترضًا، وتهدف إلى فحص الوعود الأمنية المتعلقة بالتشفير صفري المعرفة (Zero-Knowledge Encryption – ZKE) التي تقدمها هذه الحلول. يُعد التشفير صفري المعرفة تقنية تشفير تسمح لطرف واحد بإثبات معرفته بسر معين لطرف آخر دون الكشف عن السر نفسه.
يختلف التشفير صفري المعرفة قليلاً عن التشفير من طرف إلى طرف (End-to-End Encryption – E2EE). فبينما يشير E2EE إلى طريقة لتأمين البيانات أثناء انتقالها، يركز ZKE أساسًا على تخزين البيانات بتنسيق مشفر بحيث لا يمكن الوصول إليها إلا من قبل الشخص الذي يملك المفتاح. ولذلك، يتبنى بائعو مديري كلمات المرور تقنية ZKE لتعزيز خصوصية المستخدم وأمنه، من خلال ضمان عدم إمكانية التلاعب ببيانات الخزنة.
ومع ذلك، كشفت الأبحاث الأخيرة عن 12 هجومًا مميزًا ضد Bitwarden، وسبعة ضد LastPass، وستة ضد Dashlane. تتنوع هذه الهجمات بين انتهاكات سلامة خزائن المستخدمين المستهدفة، وصولاً إلى الاختراق الكامل لجميع الخزائن المرتبطة بمؤسسة واحدة. وتخدم هذه الحلول مجتمعة أكثر من 60 مليون مستخدم ونحو 125,000 شركة.
أنواع الهجمات المكتشفة
صنف الباحثون الهجمات المكتشفة ضمن أربع فئات رئيسية:
- الهجمات التي تستغل آلية استعادة الحساب “استئجار المفتاح” (Key Escrow) لانتهاك ضمانات السرية في Bitwarden و LastPass، وهي ثغرات ناتجة عن تصميمات هذا المفتاح.
- الهجمات التي تستغل عيوب التشفير على مستوى العنصر (Item-level encryption)، حيث يتم تشفير عناصر البيانات والإعدادات الحساسة للمستخدم ككائنات منفصلة، وغالبًا ما تقترن ببيانات وصفية غير مشفرة أو غير موثقة، مما يؤدي إلى انتهاكات السلامة، وتسرب البيانات الوصفية، وتبديل الحقول، وخفض مستوى وظيفة اشتقاق المفتاح (KDF).
- الهجمات التي تستغل ميزات المشاركة لانتهاك سلامة وسرية الخزنة.
- الهجمات التي تستغل التوافق مع الإصدارات القديمة من التعليمات البرمجية، والتي تؤدي إلى هجمات خفض المستوى (downgrade attacks) في Bitwarden و Dashlane.
كما وجدت الدراسة أن 1Password، وهو مدير كلمات مرور شهير آخر، عرضة لهجمات التشفير على مستوى العنصر وهجمات المشاركة. ومع ذلك، اختارت 1Password التعامل مع هذه الهجمات على أنها ناتجة عن قيود معمارية معروفة بالفعل.
استجابة الشركات للإجراءات الأمنية
عند التواصل للحصول على تعليق، أفاد جيكوب دوبيست، كبير مسؤولي أمن المعلومات وكبير مسؤولي تكنولوجيا المعلومات في 1Password، بأن فريق أمن الشركة راجع الورقة البحثية بالتفصيل ولم يجدوا أي نواقل هجوم جديدة تتجاوز تلك الموثقة بالفعل في ورقة التصميم الأمني المتاحة للجمهور.
وأضاف دوبيست: “نحن ملتزمون بتقوية معمارينا الأمنية باستمرار وتقييمها مقابل نماذج التهديدات المتقدمة، بما في ذلك سيناريوهات الخوادم الخبيثة مثل تلك الموضحة في البحث، وتطويرها بمرور الوقت للحفاظ على الحماية التي يعتمد عليها مستخدمونا”.
وأكد أن “1Password يستخدم بروتوكول كلمة المرور الآمن عن بعد (SRP) لمصادقة المستخدمين دون نقل مفاتيح التشفير إلى خوادمنا، مما يساعد في التخفيف من فئات كاملة من الهجمات من جانب الخادم. وفي الآونة الأخيرة، قدمنا قدرة جديدة للمعلومات التي تديرها المؤسسات، والتي يتم إنشاؤها وتأمينها منذ البداية لتتحمل التهديدات المتطورة”.
بالنسبة لباقي الشركات، فقد طبقت Bitwarden و Dashlane و LastPass بالفعل تدابير مضادة للتخفيف من المخاطر التي سلط عليها البحث الضوء. تخطط LastPass أيضًا لتعزيز إجراءات إعادة تعيين كلمة المرور الإدارية وسير عمل المشاركة لمواجهة التهديد الذي يشكله الوسيط الخبيث. ولا يوجد دليل على أن أيًا من هذه المشكلات قد تم استغلالها فعليًا.
على وجه التحديد، قامت Dashlane بتصحيح مشكلة كان من الممكن أن تسمح بالاختراق الناجح لخوادمها بخفض مستوى نموذج التشفير المستخدم لتوليد مفاتيح التشفير وحماية خزائن المستخدمين. تم إصلاح المشكلة عن طريق إزالة الدعم لطرق التشفير القديمة مع إصدار Dashlane Extension v6.2544.1 في نوفمبر 2025.
وأوضحت Dashlane: “يمكن أن يؤدي هذا الخفض إلى اختراق كلمة مرور رئيسية ضعيفة أو سهلة التخمين، واختراق عناصر الخزنة الفردية ‘المخفضة’. كانت هذه المشكلة نتيجة للسماح باستخدام التشفير القديم. وقد دعم Dashlane هذا التشفير القديم في حالات معينة لضمان التوافق مع الإصدارات السابقة ومرونة الترحيل.”
من جانبها، صرحت Bitwarden بأن جميع المشكلات المحددة يتم معالجتها، مشيرة إلى أنه “تم حل سبع منها أو أنها قيد المعالجة النشطة من قبل فريق Bitwarden. وتم قبول المشكلات الثلاث المتبقية كقرارات تصميم متعمدة ضرورية لوظائف المنتج.”
في إشعار مماثل، ذكرت LastPass أنها “تعمل بنشاط على إضافة ضمانات سلامة أقوى لربط العناصر والحقول والبيانات الوصفية بشكل تشفير أكثر قوة، مما يساعد في الحفاظ على ضمانات السلامة.”