В LastPass была обнаружена серьезная уязвимость, позволяющая относительно легко получить доступ к паролям пользователя.
Ошибка скрывалась в работе парсера. Например, при посещении сайта http://example.com/@twitter.com браузер правильно считает, что пользователь находится на сайте example.com, в то время как расширение Lastpass считало, что пользователь зашел на twitter.com.
Если на странице расположена форма для авторизации, то Lastpass вставит в поля логин и пароль пользователя Twitter, и злоумышленник сможет их свободно прочитать.
Уязвимость была раскрыта разработчикам LastPass, исправившим ее менее, чем за сутки.
Пользователи уже защищены от этой ошибки парсера, однако и до этого для того, чтобы использовать уязвимость злоумышленнику необходимо было выполнение двух условий:
- Пользователь должен был зайти на страницу со специально сформированным адресом
- В настройках LastPass должна была быть включена опция автозаполнения паролей (по умолчанию отключена и активируется для каждого сайта по отдельности).
