В LastPass, популярном менеджере паролей для веб-браузеров, исправлена пара уязвимостей, которые могли бы позволить злоумышленнику создавать собственные одноразовые пароли для учетной записи жертвы.

Компания сообщила, что команда безопасников не наблюдала ни одной активной атаки, использующей эти уязвимости, и нет причин полагать, что клиентам нужно менять свои мастер-пароли или создавать новые одноразовые пароли для своих учетных записей. Сценарий атаки не особо замысловат, но представители LastPass заявили, что одна из уязвимостей касается только их закладочных апплетов, которыми пользуется незначительный процент клиентов.

«В августе 2013 года исследователь-безопасник из Калифорнийского университета в Беркли Чживэй Ли связался с нами, чтобы сообщить о новых уязвимостях в закладочных апплетах (активно используемых менее чем 1% пользователей) и одноразовых паролях (OTP). Чживэй обнаружил проблему, которую можно эксплуатировать, если пользователь LastPass использовал закладочный апплет на атакующем сайте, другая проблема возникает, если пользователь LastPass зашел на атакующий сайт, будучи залогинен в LastPass, в результате чего его имя пользователя можно использовать для потенциального создания фальшивого OTP», — написали представители LastPass в блоге.

Сервис LastPass позволяет пользователям создавать одноразовые пароли для различных сайтов после создания учетной записи с мастер-паролем. Это позволяет забыть о задании разных паролей для разных сайтов, а также улучшает безопасность их взаимодействия с сайтами. Тем не менее злоумышленник, который как-то смог получить контроль над мастер-паролем пользователя, имеет возможность доступа к учетным записям жертвы на различных сайтах.

Но, несмотря на наличие уязвимостей на протяжении какого-то периода, представители LastPass заявили, что их клиентам не обязательно совершать какие-либо действия в связи с этим.

«Если вы беспокоитесь из-за того, что использовали закладочные апплеты до сентября 2013 года на недоверенных сайтах, вы можете поменять свой мастер-пароль и создать новые пароли, но мы не думаем, что в этом есть необходимость», — написано в сообщении.

«Касательно OTP-атаки — эта «целевая атака» требует от злоумышленника знания имени пользователя, но таких атак мы еще не наблюдали. Даже если эту уязвимость использовать, у злоумышленника не будет ключа для расшифровки данных», — сказано в сообщении.

LastPass — очевидная цель для злоумышленников, ее привлекательность для них обусловлена сервисом, который она предоставляет пользователям, и данными, которые он хранит. В 2011 году сеть компании была взломана, и в тот раз она попросила своих клиентов сменить свои пароли.

Категории: Уязвимости