Користувачі LastPass уразливі для найпростішої фішингової атаки в Chrome

Користувачі LastPass уразливі для найпростішої фішингової атаки в ChromeОдин з найбільш популярних менеджерів паролів LastPass, кілька разів випробовував проблеми з безпекою. Наприклад, сервіс зламали влітку 2015 року, після чого користувачам довелося міняти свої дані для доступу до LastPass. У листопаді минулого року фахівці з інформаційної безпеки виявили у сервісу ряд багів, які дозволяли зловмисникам отримати доступ до облікових даних користувачів.

Тепер же виявилося, що і двофакторна захист сервісу не рятує, якщо зловмисник буде використовувати найпростішу фішингову атаку. Фахівець з інформаційної безпеки Шон Кессиди, виявив уразливість, придумав і назву для неї — «LostPass». Для того, щоб продемонструвати вразливість, фахівець створив спеціальний інструмент.

Вся справа в тому, що LastPass при певних умовах показує користувачеві повідомлення про те, що сесія закінчилася і необхідно знову залогінитися. Якщо зловмисник буде використовувати на певного роду ресурсах підроблені повідомлення, двофакторна аутентифікація користувача не допоможе — його аккаунт буде скомпрометований. Підроблена форма, що виглядає так само, як і звичайна форма для введення облікових даних LastPass, може обдурити багатьох, тим більше, що і адреса у неї буде схожий з технічним url сервісу.

lastpassВ результаті атакуючий без проблем зможе верифікувати отримані дані, а в деяких випадках — запросити код двофакторної аутентифікації, використовуючи LastPass API. Цікаво, що працює все це тільки в браузері Chrome. В інших браузерах використовується дещо інший спосіб виведення повідомлень сервісу.

За словами Кессиди, він вже звернувся до розробників сервісу, і отримав від них відповідь про те, що це не дефект, а фішинг. На думку фахівця, якщо представники компанії не змінять принцип виведення повідомлень в Chrome, користувачі LastPass будуть наражатися на небезпеку. Для того, щоб не загубити свої дані, Кессиди радить використовувати введення даних на сторінці сервісу. Крім того, хорошим виходом є аутентифікація через додаток.

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

*