H γνωστή υπηρεσία διαχείρισης κωδικών πρόσβασης συνιστά στους χρήστες να αλλάξουν κωδικούς πρόσβασης για λόγους ασφάλειας.
Η ομάδα του LastPassενημέρωσε τους χρήστες ότι θα πρέπει να προχωρήσουν σε αλλαγή των κύριων κωδικών τους πρόσβασης (master passwords), στην περίπτωση που έκαναν χρήση των bookmarklets πριν από το Σεπτέμβριο του 2013.
Η ανακοίνωση αυτή έρχεται μετά την αποκάλυψη ενός ερευνητή σχετικά με μια ευπάθεια, η οποία θα μπορούσε να αξιοποιηθεί εναντίον οποιουδήποτε χρήστη έκανε χρήση των bookmarklets σε μια κακόβουλη ιστοσελίδα.
Η εταιρεία προειδοποίησε τους χρήστες σχετικά με την ευπάθεια, αναφέροντας ότι μέχρι στιγμής δεν υπάρχουν στοιχεία που να αποδεικνύουν την αξιοποίησή της από επιτιθέμενους.
“Αν νομίζετε ότι έχετε χρησιμοποιήσει τα bookmarklets πριν από τον Σεπτέμβριο του 2013 σε μη αξιόπιστα sites, μπορείτε να αλλάξετε τον κύριο κωδικό πρόσβασης ή/και να δημιουργήσετε νέους κωδικούς πρόσβασης
, αν και δεν νομίζουμε ότι είναι απαραίτητο”, αναφέρει η ομάδα της LastPass σε ένα blog post.Η ευπάθεια ανακαλύφθηκε από τον ερευνητή Zhiwei Li του Πανεπιστημίου του Berkeley, ενώ μέχρι στιγμής δεν έχουν δημοσιευτεί περαιτέρω τεχνικές λεπτομέρειες σχετικά με αυτή.
O Zhiwei εντόπισε επίσης ένα ακόμη κενό ασφάλειας στην υπηρεσία, το οποίο θα μπορούσε να επιτρέψει σε έναν εισβολέα να χρησιμοποιήσει το username ενός πιθανού θύματος για τη δημιουργία ενός ψεύτικου OTP (Οne-Τime Password) κωδικού.
Η συγκεκριμένη ευπάθεια θα μπορούσε να αξιοποιηθεί μόνο σε στοχευμένες επιθέσεις, καθώς ο επιτιθέμενος θα πρέπει να έχει στη διάθεσή του το username του λογαριασμού του θύματος.
«Ακόμη και εάν μια τέτοια επίθεση ήταν επιτυχής, ο εισβολέας θα εξακολουθούσε να μην έχει το κλειδί για την αποκρυπτογράφηση των δεδομένων του χρήστη», τονίζει η εταιρεία