در حال حاضر، برنامه لستپس یکی از محبوبترین برنامه مدیریت رمزهای عبور یا همان گذرواژهها است که نقص امنیتی موجود در آن با انتشار نسخه ۴.۳۳.۰ در روز ۱۲ سپتامبر اصلاح شده است. شرکت توسعهدهنده این برنامه اظهار کرده که این نقص تنها روی افزونههای لستپس در مرورگرهای کروم و اپرا تاثیر گذاشته بود.
این شرکت به کاربرانی که بهروزرسانی خودکار لستپس را غیرفعال کردهاند، توصیه کرده است که سریعا این برنامه را به آخرین نسخه آن بهروزرسانی کنند.
مهاجمان میتوانند با فریب و هدایت کاربران به وبسایتهای مخرب، از این آسیبپذیری برای استخراج اطلاعاتی که کاربران در دیگر سایتها وارد کردهاند استفاده کنند. بنا بر گفتههای محققان، انجام این حملات دشوار نیست و مهاجمان میتوانند یک لینک مخرب را در قالب لینک مترجم گوگل پنهان کرده و آن را برای کاربران خود ارسال کنند. در نهایت پس از باز کردن این لینکها، وبسایت مخرب، اطلاعات واردشده در سایتهایی که کاربر پیشتر از آنها بازدید کرده است را استخراج میکند.
محققان خاطر نشان کردهاند که برنامههای مدیریت رمزعبور نیز مانند هر برنامه دیگری ممکن است در برابر حفرههای امنیتی آسیبپذیر باشند. علیرغم کشف این آسیبپذیری، باز هم به کاربران پیشنهاد میشود که از برنامههای مدیریت رمزعبور استفاده کنند. استفاده از این برنامهها به مراتب بهتر از ذخیره کردن رمزهای عبور در مرورگرها است. باید توجه داشت که گذرواژههای ذخیره شده در مرورگرها به راحتی و با استفاده از بدافزارها یا ابزارهای قانونی قابل استخراج هستند.
امنیت بالا و محافظت از رمز عبورهای کاربران لستپس تابستان سال جاری، هنگامی که پلیس مبارزه با مواد مخدر ایالات متحده آمریکا درخواستی قانونی از این شرکت کرده بود مشخص شد. پلیس آمریکا از شرکت لستپس درخواست اطلاعات مربوط به یکی از کاربران لستپس را کرده بود که این شرکت در برآورده کردن این درخواست موفق نبود و اظهار کرده بود که اطلاعات کاربران در این شرکت رمزگذاری شده است و آنها قادر به دسترسی به اطلاعات آنها نیستند.
توضیحات بیشتر:
- LastPass bug leaks credentials from previous site
- What Happened When The DEA Demanded Passwords From LastPass