Μια επικίνδυνη ευπάθεια στην ασφάλεια της LastPass επιτρέπει στους επιτιθέμενους να αποκτήσουν πρόσβαση από απόσταση σε λογαριασμούς χρηστών.
Η υπηρεσία LastPass αποθηκεύει τους κωδικούς πρόσβασης του χρήστη σε μια “ασφαλή” περιοχή και όταν χρειαστεί αναγράφει αυτόματα τα διαπιστευτήρια για σας στις σελίδες που το απαιτούν. Το σύστημα χρησιμοποιεί κρυπτογράφηση AES-256 bit με PBKDF2 SHA-256 και αλατισμένα (salted) hashes για να προστατεύει τα πολύτιμα δεδομένα που είναι αποθηκευμένα.
Σύμφωνα όμως με τον γνωστό ερευνητή ασφαλείας από το Google Project Zero Tavis Ormandy, το λογισμικό περιέχει “κρίσιμα προβλήματα”, τα οποία θα μπορούσαν να θέσουν τους λογαριασμούς χρηστών σε κίνδυνο.
Την Τρίτη, ο White Hat hacker αποκάλυψε στο Twitter ότι με μια γρήγορη ματιά στην ασφάλεια της LastPass, ανακάλυψε “προφανή” προβλήματα ασφάλειας.
Έτσι εκατομμύρια χρηστών μπορεί να είναι σε κίνδυνο μέχρις ότου το πρόβλημα επιδιορθωθεί. Φυσικά καταλαβαίνετε ότι αν κάποιος επιτιθέμενος μπορέσει να υποκλέψει ένα λογαριασμό χρήστη της υπηρεσίας LastPass, του δίνει πρόσβαση σε ένα θησαυρό με διαπιστευτήρια για άλλες online υπηρεσίες.
Ο Ormandy ανακοίνωσε το zero-day και άλλα κρίσιμα ζητήματα κρίσιμα ασφαλείας χωρίς όμως να δώσει τεχνικές λεπτομέρειες.
Ο ίδιος ερευνητής έχει ανακαλύψει κρίσιμα προβλήματα στο λογισμικό μεγάλων εταιρειών όπως Symantec, Avast και πολλές άλλες.
Εδώ θα πρέπει να αναφέρουμε κάτι που το λέμε πολύ συχνά: Για passwords managers ξεχάστε τις online υπηρεσίες. Αποθηκεύετε τα δεδομένα σας τοπικά. Είναι πιθανότερο να παραβιάσουν μια LastPass που προσελκύει τους hackers κατά χιλιάδες λόγω των υπηρεσιών της παρά τον υπολογιστή σας.
Δοκιμάστε την δωρεάν εφαρμογή KeePass. Θα αποθηκεύσει όλους σας τους κωδικούς πρόσβασης τοπικά με ικανοποιητική κρυπτογράφηση. Το μόνο που θα πρέπει να θυμάστε είναι ένας κύριος κωδικός για το άνοιγμα της εφαρμογής.