Июл
18
2014

Авторы расширения LastPass рассказали о двух уязвимостях

Разработчики опубликовали информацию о нахождении двух уязвимостей в популярном инструменте для сохранения и хранения паролей в браузерах Chrome, Firefox, Opera и Safari.

На днях в официальном блоге разработчиков LastPass была опубликована информация о двух проблемах в безопасности, найденных в продукте компании. По словам авторов, их сфера деятельности подразумевает большую степень доверия пользователей, по этой причине они и раскрывают данную информацию.

Первая брешь была обнаружена исследователями it-безопасности в Калифорнийском университете Беркли и связана она была не с расширением, а с букмарклетом (bookmarklet). Событие произошло практически год назад, в августе 2013 года. В том случае, если пользователь запускал bookmarklet на специально созданном сайте, то тот был способен получить некоторые учетные данные пользователя для других сайтов. Стоит сказать, что нет никаких сведений об использовании данной уязвимости, а после сообщений исследователей, она была закрыта. Также добавим, что согласно внутренним данным, букмарклетом LastPass пользуется менее 1% от всех зарегистрированных на сервисе.

Вторая уязвимость была связана с сервисом получения одноразовых паролей сервиса. Страница для этого доступна по данной ссылке. Функция позволяет получить одноразовый уничтожаемый пароль для однократного входа в систему. Случаи его использования могут быть связаны, например, с посещением ресурса с публичных компьютеров. По словам авторов, данной лазейкой могут воспользоваться только в случае направленной атаки на конкретного пользователя. Для этого злоумышленникам необходимо знать логин жертвы. Таким образом, перебор и массовый взлом аккаунтов здесь исключен. Более того, даже получив временный доступ, максимум, что можно получить — зашифрованную копию базы паролей. Всем желающим предложено изменить свой мастер-пароль и пароли для сайтов, но авторы не видят в этом необходимости.

Метки:Инструменты