V oblíbeném správci hesel LastPass byly bezpečnostními výzkumníky z univerzity v Berkeley objeveny dvě bezpečnostní trhliny, kterými se útočník teoreticky mohl dostat k uživatelským heslům. Riziko zneužití je však mizivé a chyby už prý byly opraveny, uvádí tvůrci služby na blogu. Lehké podezření, že však šlo o něco vážnějšího, budí skutečnost, že informace přišla až téměř rok po údajném odhalení chyb.
V srpnu 2013 byli tvůrci LastPass kontaktováni z Berkeley a informováni o dvou zranitelnostech. Prošetření ukázalo, že rizika skutečně existují, ale aplikovatelná by byla jen na velmi malý zlomek uživatelů LastPass, kteří využívají funkci bookmarkletů a jednorázového hesla (OTP). V prvním případě se pak riziko týká nedůvěryhodných webů, které by zranitelnost využívali (není znám žádný takový), ve druhém případě se jedná o cílený útok, kdy by útočník musel znát uživatelské jméno a teoreticky se mohl dostat k uživatelskému účtu. Dešifrovaná hesla by však nedostal.
Také u konkurence se našla chybka:
LastPass ujišťuje, že jsou oba případy značně experimentální, masově nevyužitelné a především již opraveny. Zaznamenány prý nebyly žádné případy, které by uvedených zranitelností využívali a podle všeho na ne přišli jen výzkumníci v Berkeley. Pokud jste dříve používali bookmarklety a chcete mít naprostou jistotu, změňte si v LastPass hlavní heslo.
Mohlo by vás také zajímat:
