18.01.2016  Новости, Безопасность

LastPass — один из самых популярных менеджеров паролей, может поэтому сообщения о его проблемах с безопасностью в последнее время появляются весьма часто. Так, в конце ноября прошлого года в LastPass специалисты по безопасности обнаружили целый ряд багов, а еще раньше, летом 2015-го, менеджер паролей подвергся атаке хакеров. Теперь независимый исследователь Шон Кессиди обнаружил, что LastPass уязвим перед фишинговыми атаками, из-за которых мастер-пароль пользователя может быть скомпрометирован. Кессиди назвал обнаруженную уязвимость «LostPass». Как он сообщает в своём блоге, для её активизации он создал специальный инструмент. С его помощью можно автоматизировать простейшую фишинговую атаку на пользователей LastPass. Захватив мастер-пароль к хранилищу паролей жертвы, взломщик получает доступ не только к паролям, но и к электронной переписке и документам. Найденная уязвимость эксплуатируется следующим образом. Сначала злоумышленник заманивает владельца аккаунта LastPass на свой сайт, который демонстрирует поддельное уведомление о том, что его сессия истекла и необходимо залогиниться снова. Так как уведомление поддельное, нажатие на кнопку «Try Again» приведёт жертву на специально созданную страницу, выглядящую точно так же, как стандартная форма для ввода логина и пароля LastPass. Она даже адрес будет иметь почти такой же, какой обычно имеют служебные страницы браузера, открываемые установленными расширениями. После ввода логина и пароля на фишинговом сайте они попадают ... читать далее.