Avertisment major pentru utilizatorii serviciilor de stocare în cloud: vulnerabilități descoperite în sistemele de criptare zero-knowledge ale unor mari provideri
Un studiu recent, publicat în luna februarie a anului 2026, scoate la lumină vulnerabilități grave ale unor servicii populare de gestionare a parolelor din cloud, precum Bitwarden, LastPass și Dashlane. Cercetarea efectuată de specialiști de la ETH Zurich și Universitatea din Elveția Italiană relevă că, în anumite condiții, aceste platforme pot fi ținta unor atacuri menite să recupereze parolele utilizatorilor sau, în cele mai grele cazuri, să compromită complet seifurile digitale ale companiilor.
Ce ar putea fi mai alarmant decât faptul că milioane de oameni și organizații depind de aceste servicii pentru păstrarea datelor esențiale? Analiza vizează tehnologia de bază utilizată, criptarea „zero-knowledge” (ZKE), și identifică probleme în modul în care acestea sunt implementate, mai ales în scenarii în care infrastructura companiei este compromisă de hackeri sau există intenții abuzive din partea angajaților. Autorii studiului atrag atenția că, deși aceste tehnologii promit un nivel ridicat de siguranță, în practică, anumite vulnerabilități sunt încă greu de evitat.
Paradigma zero-knowledge: o garanție aparentă, un risc potențial
Criptarea „zero-knowledge” se bazează pe ideea că furnizorul serviciului nu are acces direct la datele utilizatorilor, acestea fiind stocate într-o formă criptată, deblocabilă doar de către utilizator cu ajutorul unei chei speciale. În teorie, această tehnologie ar trebui să ofere o protecție robustă împotriva accesului neautorizat, chiar dacă infrastructura companiei este atacată. Cu toate acestea, cercetarea scoate în evidență faptul că, dacă un server devine compromis, anumite mecanisme pot fi exploatate pentru a recăpăta accesul la parole sau informații sensibile.
Specialiștii au identificat 12 scenarii de atac împotriva sistemului Bitwarden, șapte pentru LastPass și șase pentru Dashlane, aceste servicii fiind folosite de peste 60 de milioane de utilizatori individuali și 125.000 de companii. Vulnerabilitățile descoperite sunt aproape de natură tehnologică: exploatarea mecanismelor de recuperare a conturilor prin „key escrow”, probleme în criptarea elementelor individuale din seif, funcții de partajare a datelor și atacuri de downgrade cauzate de compatibilitatea cu tehnologii criptografice mai vechi. Toate acestea ar putea duce – în condiții agravante – la divulgarea parolelor sau compromiterea totală a seifului digital.
Răspunsul companiilor: eforturi de consolidare a securității
Reprezentanții celor trei service-uri de gestionare a parolelor au reacționat rapid. Dashlane, de exemplu, a anunțat eliminarea suportului pentru metode criptografice vechi în noua versiune a extensiei, pentru a preveni atacurile de downgrade. La rândul său, Bitwarden afirmă că majoritatea problemelor identificate fie au fost deja remediate, fie sunt în curs de rezolvare, iar unele decizii de design sunt considerate necesare pentru funcționarea corectă a serviciului.
1Password, de altfel, a recunoscut vulnerabilități legate de criptarea la nivel de element și funcțiile de partajare, însă a subliniat că aceste aspecte țin deja de limitări arhitecturale cunoscute și documentate anterior. Reprezentanții companiei au adăugat că utilizează protocolul Secure Remote Password, care permite o autentificare sigură fără transmiterea cheilor de criptare către servere, reducând astfel riscul de atacuri din partea serverului.
Deși nu există probe concrete că aceste vulnerabilități au fost exploatate în mod real până acum, studiul evidențiază faptul că implementarea corectă a criptării zero-knowledge este extrem de complexă și necesită o atenție constantă din partea dezvoltatorilor, mai ales în contextul creșterii numărului de atacuri informatice sofisticate. În cele din urmă, în condițiile în care serverele de stocare nu mai pot fi considerate ca fiind în mod implicit de încredere, companiile sunt motivate să consolideze protocoalele și să revizuiască continuu sistemele de securitate.
Pe măsură ce tehnologia avansează, și presiunea pentru soluții mai sigure devine tot mai acută, specialiștii subliniază că menținerea unui dialog transparent cu utilizatorii și adaptarea rapidă la noile provocări sunt esențiale pentru a preveni viitoare incidente majore în spațiul digital.
