Онлайн-менеджер паролей LastPass заделал дыру в безопасности на своем сайте,
которая создавала возможность для извлечения email-адресов – но не паролей –
зарегистрированных пользователей.

XSS-уязвимость означала, что зарегистрированные пользователи, заманенные на
вредоносный сайт, выставляли тем самым напоказ свои email-адреса и сайты,
связанные с LastPass аккаунтом, наряду с напоминателем пароля и списком
IP-адресов, используемых для доступа к сайту.

Баг был

обнаружен
независимым исследователем в области безопасности Майком
Кардвеллом, который не смог проэксплуатировать уязвимость для извлечения
паролей.

LastPass – который хвастается почти миллионной базой клиентов — хранит данные
веб-сайта в зашифрованном контейнере, охраняемом мастер-паролем. Пользователи
входят в систему для получения данной информацию либо прямо через сайт, либо при
помощи браузерного расширения.

Кардвелл сообщил об обнаружении бага LastPass, который сразу отреагировал, и
менее чем через 3 часа пробел в безопасности был устранен. В

информационном сообщении
LastPass объясняет, как сайт улучшил безопасность
для предотвращения подобного рода неприятных инцидентов, включая гарантии для
поддерживающих его браузеров (Chrome и Firefox 4) в том, что веб-запросы на
домен lastpass.com будут защищены с помощью SSL.

LastPass сообщил, что анализ его протоколов доступа показал, что никто кроме
Кардвелла не эксплуатировал теперь уже устраненный баг.

Несмотря на это Кардвелл по-прежнему обеспокоен. "Я считаю, что это на самом
деле проблема, связанная с архитектурой их компьютерной системы и она снова
может с легкостью повториться в будущем ", — сказал он.



Оставить мнение