Một nhà nghiên cứu bảo mật của Google đã phát hiện ra một số lỗ hổng trong LastPass. Trình quản lý mật khẩu phổ biến chưa thể đóng tất cả.
Một số lỗ hổng trong tiện ích mở rộng LastPass dành cho Firefox và Chrome khiến LastPass dễ bị tin tặc tấn công. Cái đó phát hiện ra Tavis Ormandy, một nhà nghiên cứu bảo mật tại Google Project Zero. Ban đầu, Ormandy gặp phải một vấn đề bảo mật trong tiện ích mở rộng Firefox, nhưng nhanh chóng phát hiện ra hai vấn đề khác ảnh hưởng đến người dùng cả trình duyệt Chrome và Firefox.
Ăn cắp mật khẩu
Về mặt lý thuyết, tin tặc có thể sử dụng các thông tin rò rỉ để đánh cắp nhiều dữ liệu khác nhau, bao gồm cả mật khẩu, từ tài khoản LastPass của ai đó. Thật đau lòng vì dịch vụ này chỉ tồn tại để quản lý mật khẩu của bạn một cách an toàn. Một trong những lỗ hổng còn cho phép tội phạm thực thi mã độc trên hệ thống trong các tình huống cụ thể. Tất cả điều đó nghe có vẻ hơi mơ hồ và có lý do chính đáng: chi tiết chính xác về bản chất của mọi vấn đề vẫn chưa được biết đến. Điều rõ ràng là một trong những rò rỉ dường như là lỗi trong mã của LastPass. Bản thân LastPass đã khắc phục một số vấn đề nhưng tiện ích mở rộng trình duyệt của trình quản lý mật khẩu vẫn dễ bị tấn công.
Với tư cách là người dùng LastPass, bạn nên tắt tiện ích bổ sung trong trình duyệt của mình cho đến khi sự cố được giải quyết. Cả Ormandy và LastPass đều không cho biết liệu các lỗ hổng này đã được bọn tội phạm sử dụng ngoài tự nhiên hay chưa, nhưng việc sử dụng nó an toàn là một lựa chọn tốt.
Nhóm bảo mật đằng sau kho mật khẩu đã tự mình xử lý vấn đề một cách ngu ngốc. Ormandy đã báo cáo phát hiện của mình cho LastPass nhưng được thông báo rằng các nhà nghiên cứu không thể tái tạo lỗi này. Ormandy đã sử dụng tệp ‘calc.exe’ op Windowsmáy tính. Calc chứa máy tính và không có trên máy Mac. Tuy nhiên, bản thân các nhà nghiên cứu bảo mật LastPass đã cố gắng tái tạo lỗi trên một Applemáy tính, tất nhiên là không mang lại thành công.
