Trình quản lý mật khẩu LastPass rò rỉ mật khẩu người dùng?

Một trong những khuyến cáo của các chuyên gia bảo mật là nên sử dụng một trình quản lý mật khẩu chuyên nghiệp để bảo mật các tài khoản trực tuyến của mình, chẳng hạn như LastPass. Tuy nhiên, một phát hiện mới cho thấy, tin tặc ngày càng tinh vi và cao tay hơn khi nhắm vào trình quản lý mật khẩu này.

Một chuyên gia nghiên cứu bảo mật tên Cassidy vừa phát hiện và tạo nên công cụ đăng tải công khai trên GitHub có tên là LostPast đã chứng minh về quan điểm trên. Video clip cũng như công cụ LostPast này cho thấy cách mà tin tặc thực hiện để có thể làm giả các thông báo từ trình quản lý LastPast.

Cụ thể,  thông báo hiển thị bởi LastPass phiên bản 4.0 trong trình duyệt web có thể bị giả mạo, lừa người dùng giao nộp thông tin tài khoản và thậm chí cả mã đăng nhập xác thực cấp một lần.

Trong tài liệu chứng minh của mình, Cassidy đã sử dụng một tên miền “chrome-extension.pw,” khá giống một giao thức dành cho phần mở rộng của Chrome để đánh lừa thị giác. Sau khi người dùng nhấn vào thông báo giả mạo sẽ được đưa tới tên miền độc hại yêu cầu tài khoản người dùng. Nếu tính năng xác thực hai nhân tố được kích hoạt, token truy cập cũng sẽ bị đánh cắp. Và thông qua LastPass API, tất cả mật khẩu đều có thể bị rò rỉ.

LastPass đã nhanh chóng xác nhận và cập nhật các biện pháp để có thể ngăn ngừa các cuộc tấn công dựa trên phương thức này.

Xuân Dung – Theo TheHackerNews

Có thể bạn quan tâm: ban kaspersky | download kaspersky | download phan mem kaspersky | kaspersky 2015 | kaspersky tieng viet | kaspersky viet nam | phần mềm kaspersky | tai kaspersky | kaspersky viet nam | tải phần mềm kaspersky