LastPass to bardzo popularny menedżer haseł, z którego korzystają miliony użytkowników na całym świecie. Specjalista ds. cyberbezpieczeństwa, Mathias Karlsson odkrył, że jeszcze w tym tygodniu hasła wielu z nich były bardzo mocno zagrożone. Co z naszym bezpieczeństwem?
Luka odkryta w przeglądarkowym pluginie przez Karlssona umożliwiała mu wykradzenie haseł z kont użytkowników w LastPass. O co chodziło? Autor przeanalizował skrypt, który odpowiada za funkcję autouzupełniania i zauważył, że adres w takiej formie: http://avlidienbrunn.se/@twitter.com/@hehe.php jest interpretowany przez LastPass jako Twitter, a nie Avlidienbrunn.
Co to oznacza? Ni mniej, ni więcej jak to, że gdy Karlsson wszedł pod ten adres, LastPass wysłał na stronę Avildienbrunn dane logowania do Twittera. Co więcej, nie jest to podobno jedyna okryta przez niego luka. (Więcej szczegółów tutaj).
Co dalej? Karlsson poinformował właścicieli LastPass o swoim odkryciu, a ci załatali lukę w ciągu doby. Choć nie prowadzą oni programu nagród za odnajdywanie błędów, podziękowali autorowi kwotą 1000 dolarów.
A co z nami? Przede wszystkim należy zastanowić się kilka razy zanim zdecyduje się na skorzystanie z autouzupełniania. To nie pierwsza luka wykryta w tego typu funkcji. Czy powinniśmy jednak zrezygnować z używania z LastPass lub innych menedżerów haseł? Nie wygląda na to, by była taka konieczność. Zaleca się też korzystanie z wieloetapowego uwierzytelniania.
Źródło: Labs Detectify, LastPass
