Vulnerabilități semnificative descoperite în serviciile de stocare online pentru parole, inclusiv Bitwarden, LastPass și Dashlane
Un studiu academic recent, publicat în februarie 2026, ridică semne de întrebare asupra nivelului de securitate al celor mai populare servicii de gestionare a parolelor din cloud. Cercetarea relevă că, în anumite condiții, aceste platforme pot fi vulnerabile în fața atacurilor menite să recupereze parolele utilizatorilor, punând în pericol milioane de conturi din întreaga lume. Analiza a fost realizată de experți de la ETH Zurich și Università della Svizzera italiana și a scos la lumină o serie de probleme legate de modul în care se implementează criptarea zero-knowledge, o metodă considerată a fi unul dintre cele mai sigure modele de criptare moderne.
Secretele criptării zero-knowledge și vulnerabilitățile identificate
Criptarea zero-knowledge (ZKE) este o tehnologie care promite că furnizorii de servicii nu au acces la datele utilizatorilor, acestea fiind criptate într-un mod care poate fi deblocat doar cu cheia deținută de utilizator. Acest model, diferit de criptarea end-to-end, este destinat în special stocării securizate a datelor, nu protejării în timpul transmiterii. Cu toate acestea, studiul indică faptul că, în scenarii cu infrastructură compromisă, anumite vulnerabilități pot fi exploatate.
Cercetătorii au identificat 25 de scenarii diferite de atac, vizând trei dintre cele mai folosite servicii de gestionare a parolelor: Bitwarden, LastPass și Dashlane. În total, aceste platforme deservesc peste 60 de milioane de utilizatori și aproximativ 125.000 de companii din întreaga lume. Împărțite în patru categorii principale, vulnerabilitățile vizează mecanisme de recuperare a contului, criptare la nivel de element, funcții de partajare și metode criptografice învechite ce pot fi exploatate prin atacuri de downgrade.
Unul dintre cele mai îngrijorătoare aspecte semnalate de cercetători este exploatarea mecanismelor de tip „key escrow”, care pot compromite confidențialitatea utilizatorilor. În plus, problemele legate de criptarea elementelor și de partajarea securizată pot permite manipularea datelor stocate sau accesul neautorizat la seifurile digitale. De exemplu, unele dintre aceste vulnerabilități pot fi active dacă sistemul acceptă metode criptografice vechi sau dacă metadatele necriptate sunt utilizate în mod neadecvat.
Reacțiile companiilor și măsurile de remediere
Deși studiul a stârnit îngrijorare, reprezentanții celor mai mari furnizori de password management au oferit asigurări că situația nu reprezintă un pericol iminent pentru utilizatori. 1Password, de pildă, a transmis că vulnerabilitățile identificate sunt legate de limitări arhitecturale deja documentate și că, în prezent, nu există indicii că aceste probleme ar fi fost exploatate în breșe reale. Compania a subliniat totodată utilizarea protocolului Secure Remote Password, menit să reducă riscurile de interceptare a cheilor de criptare.
Celelalte platforme au anunțat măsuri imediate pentru minimizarea vulnerabilităților. Dashlane a eliminat suportul pentru metode criptografice învechite în ultima versiune a extensiei sale, pentru a preveni atacurile de downgrade. În același timp, Bitwarden a precizat că majoritatea problemelor semnalate sunt deja remediate sau în curs de rezolvare, unele fiind considerate necesare pentru asigurarea funcționalității serviciului. În cazul LastPass, compania a anunțat că lucrează la consolidarea garanțiilor de integritate criptografică, pentru a lega mai strâns elementele și metadatele din vault-uri.
Chiar dacă, deocamdată, nu există dovezi concrete că aceste vulnerabilități au fost exploatate, impactul pe termen lung al acestor descoperiri aduce în discuție necesitatea unor reevaluări periodice ale arhitecturii de securitate, mai ales în contextul în care nu toate platformele pot fi considerate de încredere implicită în fața unui server compromis. O tendință clară pentru viitor pare să fie investiția în tehnologii și metode criptografice robuste, capabile să răspundă provocărilor de securitate în continuă evoluție.
