LastPass eliminuje poważną lukę w menadżerze haseł

Firma LastPass wyeliminowała poważną lukę w darmowym menadżerze haseł online. Luka narażała użytkowników aplikacji na ataki typu XSS.

Lukę zgłosił Mike Cardwell, o czym możemy przeczytać na jego stronie. Umożliwiała ona dostęp cyberprzestępców do prywatnych danych chronionych za pomocą menadżera haseł LastPass. Do ataków wystarczyło wykorzystać złośliwy kod osadzony w treści wybranej witryny internetowej. W ten sposób cyberprzestępca mógł uzyskać dostęp nie tylko do przechowywanych haseł użytkownika, ale również bezpiecznych notatek, automatycznie wypełnianych formularzy, a także innych poufnych danych.

Firma LastPass szybko odpowiedziała na zgłoszenie i wyeliminowała lukę. Jak czytamy na blogu firmy, nie zanotowano ataków przy wykorzystaniu opisanej dziury w menadżerze haseł. Zdaniem Cardwella problem może jednak powtórzyć się w przyszłości: myślę, że w sumie jest to problem z ich architekturą. Jeśli LastPass zależy na bezpieczeństwie użytkowników, powinna wprowadzić dodatkowe zabezpieczenia w swojej usłudze. Oprócz menadżera haseł, LastPass jest również właścicielem popularnej usługi do synchronizacji zakładek - XMarks.