Skip to main content

Lỗ hổng bảo mật quan trọng LastPass sẽ cho phép tin tặc đánh cắp mật khẩu của bạn

Hình: LastPass

LastPass, dịch vụ trực tuyến giữ mật khẩu của bạn an toàn sau một mật khẩu chính, hiện không gần như an toàn như mong muốn.

Theo nhà nghiên cứu về lỗ hổng của Google, Tavis Ormandy, có ít nhất một lỗ hổng chưa được vá trong LastPass cho phép kẻ tấn công đánh cắp mật khẩu "từ bất kỳ miền nào".

XEM CSONG: Thay đổi cài đặt bảo mật này trên WhatsApp ngay bây giờ

Ormandy gần đây đã báo cáo một vài lỗi LastPass khác, bao gồm các lỗ hổng trong các tiện ích bổ sung LastPass cho Firefox và Chrome.

Tôi đã tìm thấy một lỗi khác trong LastPass 4.1.35 (chưa được vá), cho phép đánh cắp mật khẩu cho bất kỳ tên miền nào. Báo cáo đầy đủ sẽ sớm được thực hiện. pic.twitter.com/9VkV7R3vud

- Tavis Ormandy (@taviso) ngày 21 tháng 3 năm 2017

Một lỗ hổng bảo mật, được mô tả chi tiết bởi Ormandy ở đây, không chỉ cho phép kẻ tấn công đánh cắp mật khẩu, mà - trong một số trường hợp - nó cũng có thể được sử dụng để chạy mã tùy ý trên máy tính của nạn nhân.

Vào thứ ba, LastPass đã thông báo rằng vấn đề cụ thể đó đã được giải quyết, nhưng vào thứ Tư, công ty đã thừa nhận rằng có một lỗi chưa được vá trong tiện ích Firefox của nó.

Vấn đề được báo cáo bởi Tavis Ormandy đã được giải quyết. Chúng tôi sẽ cung cấp thêm chi tiết trên blog của chúng tôi sớm.

- LastPass (@LastPass) ngày 21 tháng 3 năm 2017

Chúng tôi biết các báo cáo về lỗ hổng bổ trợ của Firefox. Bảo mật của chúng tôi đang điều tra và làm việc để đưa ra một bản sửa lỗi.

- LastPass (@LastPass) ngày 22 tháng 3 năm 2017

Trả lời một người bình luận cho tweet của thứ ba, LastPass nói rằng người dùng không cần phải làm gì vào thời điểm này. Tuy nhiên, công ty vẫn chưa công bố bất cứ điều gì trên blog chính thức của mình về những lỗ hổng bảo mật mới này.

Mặc dù không có phần mềm nào an toàn trước các lỗ hổng bảo mật, các lỗ hổng ảnh hưởng đến các trình quản lý mật khẩu như LastPass rất đáng lo ngại, vì các dịch vụ này bảo vệ toàn bộ bộ sưu tập mật khẩu của người dùng. Đặc biệt là khi họ đến trong lũ, như họ làm những ngày này.

Đây không phải là vấn đề bảo mật nghiêm trọng đầu tiên mà LastPass gặp phải. Dịch vụ này đã bị hack vào năm 2011 và một lần nữa vào tháng 6 năm 2015. Và vào năm 2013, một lỗi đã khiến mật khẩu Internet Explorer của một số người dùng bị lộ ra công chúng.

CẬP NHẬT: ngày 22 tháng 3 năm 2017, 6:51 chiều CET LastPass đã trả lời câu hỏi của chúng tôi bằng cách chỉ cho chúng tôi bài đăng blog mới được công bố của họ ở đây. Trong bài đăng, công ty cho biết họ đã làm việc với Ormandy để điều tra và khắc phục các lỗ hổng này. Công ty tuyên bố họ đã khắc phục tất cả các vấn đề và các bản vá sẽ được áp dụng tự động cho hầu hết người dùng. Theo LastPass, không có dấu hiệu cho thấy bất kỳ lỗ hổng nào trong số này bị khai thác trong tự nhiên. Công ty tuyên bố sẽ cung cấp một cái nhìn tổng quan toàn diện hơn về các lỗ hổng này, cũng như các nỗ lực của họ để khắc phục chúng và ngăn chặn các vấn đề tiếp theo, trong tương lai.