В сервисе хранения паролей LastPass выявлена уязвимость безопасности, которая позволяет злоумышленникам воровать пароли пользователей.
Об обнаружении уязвимости заявил эксперт из компании Google Тэвис Орманди (Tavis Ormandy). Он отмечает, что ошибки в коде позволяют любому лицу получить полномочия в расширении LastPass для браузера. При этом неавторизованное лицо сможет получить доступ к привилегированным командам LastPass, включая «явно плохие», такие как копирование и заполнение паролей и др.
В LastPass пояснили, что проблема связана с экспериментальной функцией для всех клиентов LastPass для браузеров. Орманди сообщил о нескольких уязвимостях, но в компании говорят, что они «в значительной степени одинаковые». Компания опубликовала исправление уязвимостей ещё до того, как информация о них была раскрыта публично. Обновления у пользователей должны установиться в автоматическом режиме.
LastPass не говорит о необходимости обновления паролей. Отмечается, что нет признаков того, что какая-либо из обнаруженных уязвимостей использовалась в злоумышленниками. Но в настоящее время ещё осуществляются проверки, призванные подтвердить это. Разработчики обещают в скором времени предоставить более подробный отчёт.
Источник: The Verge
- Это не первый случай обнаружения проблем в сервисе LastPass. В 2011 году в результате атаки на сервера LastPass возникла угроза утечки данных, и компания попросила пользователей сменить свои пароли.
- В 2015 году снова была осуществлена атака на сервис, злоумышленникам удалось получить доступ к хешам мастер-паролей, электронных почтовых адресов и ответов на проверочные вопросы. Хотя к самим паролям доступ получить не удалось.
- В 2016 году в LastPass была обнаружена уязвимость, позволяющая узнать все пароли пользователя.