Wykradanie haseł z LastPass

27 lipca 2016, 17:36 | W biegu | komentarzy 9
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

LastPass pod ostrzałem: co dopiero jeden z badaczy znalazł lukę w przeglądarkowym pluginie, gdzie wg zwykłej przeglądarki, adres:

  • http://avlidienbrunn.se/@twitter.com/@hehe.php

To oczywiście domena avlidienbrunn.se, a wg LastPass-a (jego przeglądarkowego plugina) to twitter.com …

A to tylko zajawka, bo… ciężka artyleria została wytoczona właśnie przez Tavisa:

oma

 

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. skirge

    Jak świadczy to o kompetencjach badaczy bezpieczeństwa i wartości procesu „bezpiecznego developmentu” w ogólności? Lastpass to nie jest produkt powstały wczoraj, jest na pewno obiektem zainteresowania wielu ludzi a przychodzi taki jeden na pewno kompetetny gość i jest „a bunch of obvious critical problems”. Pozostali ich nie ogłaszali czy nie zauważyli?

    Odpowiedz
  2. Rafał

    BTW polecacie jakiś darmową alternatywę dla lastpassa?

    Odpowiedz
  3. ender

    Tavis pracuje w Google od ponad 9 lat i zajmuje się – stricte – wykrywaniem dziur w produktach innych firm.
    Przez 9 lat w takiej firmie pracując nad takimi rzeczami nabrał doświadczenia wystarczająco dużego, żeby wychwytywać oczywiste – dla niego – dziury. Ludzi z jego doświadczeniem jest niewielu.

    Do tego dorzucę jeszcze formę wykrytej i zgłoszonej przez niego dziury: otóż nie pozwala ona na wykradzenie całej bazy danych, ale – co najwyżej – jednego hasła (na raz) stosując technikę, która już więcej nie zadziała.

    Polecam nie panikować.

    Odpowiedz
    • Na szczęście nikt nie panikuje. We wszystkim są dziury. Ale istotna jest np. kwestia reakcji vendora na dany problem – czy olewka czy sensowne podejście do tego typu problemów w przyszłości.

      Odpowiedz

Odpowiedz