LastPass o kadar da güvenli değilmiş!

Şifrelerinizi emanet ettiğiniz şifre yönetici yazılımları, sandığınız kadar güvenli olmayabilir!

Şifre güvenliği ile ilgili yapılan yeni bir araştırma, bu alandaki en popüler şifre yönetici yazılımlarından LastPass'a yöneltilen basit bir oltalama saldırısının başarılı olduğuna işaret ediyor.

LastPass 4.0 versiyonu tarafından bir tarayıcı penceresinde gösterilen bildirimlerin, kullanıcıların oturum açma bilgilerini ifşa edecek ve bir defalığına şifrelerinin ele geçirilmesini sağlayacak biçimde aldattığı ortaya çıktı. Geçtiğimiz günlerde düzenlenen bir konferansta Praesido CTO'su Sean Cassidy tarafından yapılan bir sunumda verilen bu bilgilerin yanında LastPass'in daha sonra bu tarz saldırıları gerçekleştirebilmeyi çok daha zorlaştıracak bazı geliştirmeler sunduğu da belirtildi.

GitHub üzerinde söz konusu saldırıya atıfta bulunarak LostPass adı verilen bir aracı da kullanıma sunan Cassidy böylece bir saldırganın LastPass'ten gelen alarmları nasıl aldatabildiğini ve nihayet kullanıcıların kimlik bilgilerini de nasıl ele geçirdiklerini gösteriyor.

Cassidy'nin bu araştırmasının ardından bazı yeni savunma mekanizmalarını devreye soktuğunu duyuran LastPass ayrıca bu gibi aldatmaların tamamen önüne geçebilecek bildirim seçenekleri de sunmayı planladığını duyurdu. Firma ayrıca bundan böyle web sitelerinin kullanıcıların LastPass oturumlarını kapatmalarını da engellediğini açıkladı. Dolayısıyla kullanıcılar buradaki oturumlarını kapattıklarına dair bir uyarı görseler bile teoride aslında LastPass oturumunun hala açık olduğundan emin olacaklar.

Sonraki Haber

Forum