Google Project Zero ujawnił, że menedżer haseł LastPass ma olbrzymią lukę bezpieczeństwa. Mogłaby ona umożliwić cyberprzestępcom wykradnięcie haseł użytkowników. Tavis Ormandy z Project Zero na Twitterze napisał: Z LastPass może wycieknąć ostatnie używane hasło z powodu braku aktualizacji pamięci podręcznej.
Poważna luka w LastPass
Ferenc Kun, menedżer ds. inżynierii bezpieczeństwa w LastPass, powiedział w oświadczeniu:
Ograniczony zestaw okoliczności dotyczących konkretnych rozszerzeń przeglądarki może potencjalnie pozwolić atakującym na stworzenie niebezpiecznego scenariusza. Jednak aby wykorzystać ten błąd, użytkownik LastPass musiałby podjąć szereg działań, w tym wypełnienie hasła za pomocą ikony LastPass. Następnie musiałby odwiedzić złośliwą stronę i się na niej logować przy pomocy menadżera haseł.
Zobacz też: Wyciekła aplikacja aparatu, która użyta będzie w Pixel 4. Pobierz ją już dziś!
Twórcy menedżera haseł LastPass udostępnili również pewne porady dla użytkowników:
- Uważaj na ataki typu phishing. Nie klikaj na linki od osób, których nie znasz lub które wydają się nie mieć charakteru od zaufanych kontaktów i firm.
- Zawsze włączaj MFA dla LastPass i innych usług, takich jak bank, poczta elektroniczna, Twitter, Facebook, itp. Dodawanie dodatkowych warstw uwierzytelniania pozostaje najskuteczniejszym sposobem ochrony konta.
- Nigdy nie używaj ponownie swojego głównego hasła LastPass i nigdy nie ujawniaj go nikomu, w tym nam.
- Używaj różnych, unikalnych haseł dla każdego konta online.
- Utrzymuj swój komputer w stanie wolnym od złośliwego oprogramowania, uruchamiając program antywirusowy z najnowszymi wzorcami wykrywania i aktualizując oprogramowanie.
LastPass powiedział, że żadne działania użytkownika nie są wymagane, a rozszerzenie przeglądarki będzie automatycznie aktualizowane.
Źródło: wccftech