ابزار مدیریت پسورد LastPass از آسیب پذیری خاصی رنج می برد که به وبسایت های مخرب امکان استخراج آخرین پسورد وارد شده را از طریق افزونه مرورگر می داد. این باگ که اولین بار توسط «تاویس اورماندی» محقق پروژه روز صفر گوگل یافت شده بود در جدیدترین به روز رسانی این افزونه رفع شده است.
این باگ اولین بار در 7 شهریور ماه افشا شده بود و حالا بعد از حدود 18 روز رفع شده. زمانی که کاربر به وبسایت مخرب با ظاهری فریبنده وارد می شد، افزونه مرورگر فریب می خورد تا پسوردهای آخرین وبسایت بازدید شده را فاش کند. به گفته اورماندی هکرها می توانسند با استفاده از سرویس هایی مانند مترجم گوگل یک آدرس URL مخرب را پنهان کرده و کاربران را فریب دهند.
پسورد منیجر
LastPass اعلام کرده که آپدیت به صورت خودکار اعمال می شود و البته حتماً باید از به روز بودن افزونه مرورگر به آخرین نسخه مطمئن شوید؛ به ویژه اگر در مرورگر، قابلیت به روز رسانی خودکار افزونه ها را غیر فعال کرده اید. باگ مورد بحث در نسخه 4.33.0 افزونه مروگرها رفع شده است. LastPass معتقد است این باگ تنها بر مروگرهای اپرا و کروم اثر می گذارد اما برای احتیاط، وصله جدید برای تمامی مرورگرها عرضه شده است.
در بیانیه LastPass، شدت آسیب پذیری ضعیف توصیف شده. به گفته مدیر مهندسی امنیت LastPass این آسیب پذیری به بازدید کاربران از یک وبسایت مخرب و پس از آن فریب دادن کاربر برای کلیک کردن چند باره روی یک صفحه وابسته است. با این حال اورماندی این آسیب پذیری را در رده شدید دسته بندی می کند. این باگ پیش از اینکه به طور عمومی اعلام شود، به اطلاع LastPass رسیده بود. همچنین گفته شده که هیچ مدرکی دال بر سوء استفاده از آن مشاهده نشده است.
تصور عموم بر این است که برنامه های مدیریت پسورد راهی ایمن برای حفاظت از گذرواژه ها به حساب می آیند اما چنین آسیب پذیری هایی نشان می دهد پسورد منیجرها هم مشابه با دیگر سرویس های آنلاین ممکن است با مشکلات امنیتی همراه باشند.