В LastPass обнаружена опасная уязвимость

В LastPass обнаружена опасная уязвимость

В ходе фишинг-атаки хакер может похитить учетные данные жертвы.

ИБ-исследователь Шон Кэссиди (Sean Cassidy) разработал способ атаки на популярный сервис управления паролями LastPass, позволяющий злоумышленникам раскрыть мастер-пароль жертвы. Мастер-пароль необходим для получения доступа к сохраненным в LastPass логинам и паролям пользователя.

По данным Кэссиди, если во время браузинга сессия LastPass истекает, соответствующее уведомление отображается в контексте открытого сайта. Страница повторной аутентификации также отображается в контексте открытого ресурса. Это позволяет злоумышленнику в ходе фишинг-атаки перенаправить жертву на сайт, уязвимый к межсайтовому скриптингу, и похитить мастер-пароль.

После удачной эксплуатации уязвимости Кэссиди опубликовал на GitHub PoC-код в виде утилиты LostPass. С помощью LostPass можно провести автоматизированную фишинг-атаку на пользователей LastPass и получить мастер-пароли жертв.

Вдобавок ко всему, злоумышленник может проверить предоставленные жертвой логин и пароль с помощью LastPass API и запросить код двухфакторной аутентификации. В случае успешного получения кода хакер сможет раскрыть любой логин и пароль пользователя.

В настоящее время утилита работает в браузере Chrome. Специалист обещает в скором времени создать экспериментальную версию LostPass для Firefox.

Исследователь сообщил разработчикам LastPass об обнаруженной ошибке. Тем не менее, создатели ПО для управления паролями отказались выпускать исправление, предупредив пользователей о недопустимости ввода мастер-пароля через web-сайт. Уведомления также отображаются в контексте открытого web-сайта. Хакеры могут заблокировать отображение подобных сообщений.

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!