В сервисе LastPass обнаружили критическую ошибку
Тэвис Орманди, являющийся экспертом по безопасности компании Google, заявил, что в сервисе LastPass, занимающемся хранением паролей, обнаружил критическую ошибку. Злоумышленники с её помощью могут очень просто воровать пароли пользователей, а также применять их для своих личных целей.
Из опубликованного Google Project Zero отчёта следует, что любой потенциальный пользователь имел доступ непосредственно к множеству паролей, хранившихся в сервисе LastPass. Вследствие того, что внутренние команды расширения являются доступными исключительно разработчикам, данная оплошность могла в итоге злоумышленникам пойти на руку. Пользователями в ресурсе хранится практически вся своя информация для авторизации на действующих сайтах. Чтобы воспользоваться таким «безопасным» хранилищем, мошенникам требуется заставить человека просто перейти на сайт, заражённый вирусом. В свою очередь он смог бы заполучить базу данных паролей, а также предоставить её мошеннику в удобном формате.
В данном случае баг касается именно последней версии расширения сервиса LastPass. Стоит отметить, что оно установлено в каждом популярном браузере, а именно Opera — 4.1.28, Edge — 4.1.30, Chrome — 4.1.43, Firefox — 4.1.36. По словам Орманди, если данная версия имеется в браузере пользователя, её необходимо деактивировать в самые кратчайшие сроки. В настоящее время пока не сообщалось про такие кражи паролей.
Из опубликованного Google Project Zero отчёта следует, что любой потенциальный пользователь имел доступ непосредственно к множеству паролей, хранившихся в сервисе LastPass. Вследствие того, что внутренние команды расширения являются доступными исключительно разработчикам, данная оплошность могла в итоге злоумышленникам пойти на руку. Пользователями в ресурсе хранится практически вся своя информация для авторизации на действующих сайтах. Чтобы воспользоваться таким «безопасным» хранилищем, мошенникам требуется заставить человека просто перейти на сайт, заражённый вирусом. В свою очередь он смог бы заполучить базу данных паролей, а также предоставить её мошеннику в удобном формате.
В данном случае баг касается именно последней версии расширения сервиса LastPass. Стоит отметить, что оно установлено в каждом популярном браузере, а именно Opera — 4.1.28, Edge — 4.1.30, Chrome — 4.1.43, Firefox — 4.1.36. По словам Орманди, если данная версия имеется в браузере пользователя, её необходимо деактивировать в самые кратчайшие сроки. В настоящее время пока не сообщалось про такие кражи паролей.