В LastPass исправили баг, приводящий к утечке учётных данных

Автор: Андрей Карпов

В менеджере паролей LastPass нашли уязвимость. С её помощью взломщики могли выкрасть учётные данные для последнего посещённого сайта. Баг воспроизводился в браузерах Chrome и Opera — для них LastPass доступен как расширение.

Сценарий взлома такой. Вначале жертву обманом вынуждают зайти на обычный ресурс, чтобы данные для входа сохранились в менеджере паролей. Затем — на вредоносный сайт, который подгружает специальный iframe. В результате взломщик получает кэшированные данные из поля «пароль» в LastPass.

Компания уже выпустила обновлённую версию расширения. По словам разработчиков, от пользователей действий не требуется: расширение обновится самостоятельно.

Проводились ли такие атаки на деле, неизвестно. Если вы пользуетесь LastPass, возможно, есть смысл перестраховаться и поменять важные учётные данные. Да и вообще, зачем менеджеры паролей? Есть же бумажные стикеры.

Source: блог LatPass