Онлайн-менеджер паролей LastPass заделал дыру в безопасности на своем сайте,
которая создавала возможность для извлечения email-адресов – но не паролей –
зарегистрированных пользователей.
XSS-уязвимость означала, что зарегистрированные пользователи, заманенные на
вредоносный сайт, выставляли тем самым напоказ свои email-адреса и сайты,
связанные с LastPass аккаунтом, наряду с напоминателем пароля и списком
IP-адресов, используемых для доступа к сайту.
Баг был
обнаружен независимым исследователем в области безопасности Майком
Кардвеллом, который не смог проэксплуатировать уязвимость для извлечения
паролей.
LastPass – который хвастается почти миллионной базой клиентов - хранит данные
веб-сайта в зашифрованном контейнере, охраняемом мастер-паролем. Пользователи
входят в систему для получения данной информацию либо прямо через сайт, либо при
помощи браузерного расширения.
Кардвелл сообщил об обнаружении бага LastPass, который сразу отреагировал, и
менее чем через 3 часа пробел в безопасности был устранен. В
информационном сообщении LastPass объясняет, как сайт улучшил безопасность
для предотвращения подобного рода неприятных инцидентов, включая гарантии для
поддерживающих его браузеров (Chrome и Firefox 4) в том, что веб-запросы на
домен lastpass.com будут защищены с помощью SSL.
LastPass сообщил, что анализ его протоколов доступа показал, что никто кроме
Кардвелла не эксплуатировал теперь уже устраненный баг.
Несмотря на это Кардвелл по-прежнему обеспокоен. "Я считаю, что это на самом
деле проблема, связанная с архитектурой их компьютерной системы и она снова
может с легкостью повториться в будущем ", - сказал он.
