LastPass Hacklendi

Bir şifre yönetimi yazılımı olan LastPass white hat hackerlar tarafından hacklendi ve iyi hackerler tarafından hacklenmenin bazen yararlı olabileceğini gösterdi.

Bir IT güvenlik araştırmacısı olan Mathias Karlsson, LastPass’ın güvenlik önlemlerini aşmayı başardı ve bulduklarını firmaya iletti.

Her şey Karlsson’ın LastPass websitesinde fark ettiği HTML kodu ile başladı. Daha derin araştırmalar ve denemeler sonucu Karlsson, otomatik doldurma için depolanan şifrelere ulaşmasını sağlayan bir açık buldu. Bir blog postunda yazdığına göre, açık URL ayrıştırmada bulunuyormuş. Yine Karlsson’ın kendi açıklamasına göre:

“İlk olarak kod, tarayıcının hangi domainde olduğunu anlamak için URL’yi ayrıştırdı ve sonrasında herhangi bir giriş forumunu depolanan kimlik bilgileri ile doldurdu. Her nasılsa URL ayrıştırıcı kod hatalıydı.”

Karlsson, Twitter giriş bilgileri gösteren alidienbrunn.se domaininden bir kaç ekran görüntüsü paylaştı.

Picture

Picture2

İyi haber; Karlsson bulduğu açığı şirkete bildirdi. Şirket Karlsson’ı $1000 ile ödüllendirirken, açığı çabucak kapattı.

Başka bir LastPass davasında ise, Google güvenlik araştırmacısı Tavis Ormandy LastPass’ın Firefox eklentisinde bir message-hijacking açığı buldu. Bu açığın kullanılabilmesi için, bir LastPass kullanıcısını başka bir websitesini ziyaret etmek için cezbetmek gerekiyordu. Daha sonra kullanıcı fark etmeden, arka planda LastPass eylemleri çalıştırılmalıydı. İyi haber, LastPass yayımladığı bir güncelleme ile Firefox kullanıcılarını bu dertten kurtardı.

Picture3

Sizde bir LastPass kullanıcısı olun ya da olmayın, bilmediğiniz linklere tıklamayın. Unutmayın; bilinmeyen linkler kimlik avcılarının kullandığı bir yöntem. Ayrıca hiç bir yerde aynı parolayı 2. kez kullanmayın ve mümkün olduğunda güçlü kombinasyonlar bulun.

Kaynak: hackread.com