كشفت دراسة حديثة أجراها باحثون من ETH Zurich وجامعة Università della Svizzera italiana أن عدداً من مديري كلمات المرور السحابية، مثل Bitwarden وDashlane وLastPass، عرضة لهجمات استعادة كلمات المرور في ظروف معينة.
الهجمات تتراوح بين انتهاكات للسلامة وصولًا إلى اختراق كامل لجميع الخزائن في مؤسسة واحدة، مما يهدد أكثر من 60 مليون مستخدم ونحو 125 ألف شركة تعتمد على هذه الحلول.
طبيعة الهجمات المكتشفة
أظهرت الدراسة وجود 12 هجومًا ضد Bitwarden، و7 ضد LastPass، و6 ضد Dashlane، إضافة إلى ثغرات في 1Password.
الهجمات تنقسم إلى أربع فئات رئيسية:
- استغلال آلية Key Escrow لاستعادة الحسابات، مما يضعف سرية البيانات.
- ثغرات في التشفير على مستوى العناصر، تؤدي إلى تسرب البيانات أو خفض قوة وظائف اشتقاق المفاتيح.
- استغلال ميزات المشاركة بين المستخدمين لاختراق سلامة الخزائن.
- هجمات تعتمد على التوافق مع الشيفرات القديمة، مما يسمح بالرجوع إلى نماذج تشفير أضعف.
هذه الثغرات تكشف عن أنماط تصميم خاطئة وسوء فهم للتقنيات التشفيرية، رغم وعود الشركات بتطبيق مبدأ التشفير عديم المعرفة (ZKE) لضمان الخصوصية.
ردود الشركات
- 1Password أكدت أن الهجمات المكتشفة ليست جديدة، بل ناتجة عن قيود معمارية معروفة، مشيرة إلى اعتمادها بروتوكول Secure Remote Password (SRP) لتقليل المخاطر.
- Dashlane أصلحت ثغرة في نوفمبر 2025 عبر إزالة دعم التشفير القديم، الذي كان يسمح بخفض مستوى الحماية.
- Bitwarden أعلنت أنها عالجت سبع ثغرات وتعمل على إصلاح البقية، مع اعتبار بعض القرارات التصميمية ضرورية لوظائف المنتج.
- LastPass تعمل على تعزيز ضمانات السلامة وربط العناصر والحقول والبيانات الوصفية بشكل أقوى لتقليل فرص الاستغلال.
حتى الآن، لا توجد أدلة على استغلال هذه الثغرات في هجمات فعلية، لكن الدراسة تضع ضغوطًا إضافية على الشركات لمراجعة بنيتها الأمنية.
أهمية النتائج للمستخدمين والشركات
تؤكد هذه الدراسة أن الاعتماد على مديري كلمات المرور السحابية لا يعني حصانة مطلقة، وأن تصميم الأنظمة الأمنية يحتاج إلى مراجعة مستمرة لمواجهة التهديدات المتطورة. كما أن التوازن بين سهولة الاستخدام والصلابة التشفيرية يظل تحديًا رئيسيًا أمام هذه الشركات، خاصة مع توسع قاعدة المستخدمين واعتماد المؤسسات عليها في حماية بياناتها الحساسة.
