Пользователи LastPass уязвимы для фишинговой атаки в Chrome - Proxy-Base Community - Анонимность и безопасность в интернете.
Бесплатные прокси. Количество:
Прокси для пользователей форума (API). Количество:
Купить доступ к прокси-листам (API). Количество:
 



Информация по хайдам / репутации

(РЕКОМЕНДУЮ) №1 >>>DDos Атака<<|>>DDoS Service<<< ДДОС СЕРВИС<<|>>Заказать DDOS
Все инфопродукты и приватная информация бесплатно
Старый 19.01.2016, 01:10   #1 (permalink)
VPN
 
Аватар для Proxy-Base-News
 
Регистрация: 16.09.2015
Сообщений: 1,489
Member ID: 35426

Репутация: 21
Репутация: 21
Сказал(а) спасибо: 0
Поблагодарили 7 раз(а) в 7 сообщениях
Топикстартер (автор темы) По умолчанию Пользователи LastPass уязвимы для фишинговой атаки в Chrome

Один из наиболее популярных менеджеров паролей, LastPass, несколько раз испытывал проблемы с безопасностью. К примеру, сервис взломали летом 2015 года, после чего пользователям пришлось менять свои данные для доступа к LastPass. В ноябре прошлого же года специалисты по информационной безопасности обнаружили у сервиса ряд багов, позволявших хакерам получить доступ к учетным данным пользователей.

Теперь же обнаружилось, что и двухфакторная защита сервиса не спасает, если злоумышленник будет использовать простейшую фишинговую атаку. Специалист по информационной безопаности Шон Кессиди, обнаруживший уязвимость, придумал и название для нее — «LostPass». Для того, чтобы продемонстрировать уязвимость, специалист создал специальный инструмент.

Все дело в том, что LastPass при определенных условиях показывает пользователю уведомление о том, что сессия истекла и необходимо снова залогиниться. Если злоумышленник будет использовать на определенного рода ресурсах поддельные уведомления, двухфакторная аутентификация пользователю не поможет — его аккаунт будет скомпрометирован. Поддельная форма, выглядящая так же, как и обычная форма для ввода учетных данных LastPass, может обмануть многих, тем более, что и адрес у нее будет схож с техническим url сервиса.

В результате атакующий без проблем сможет верифицировать полученные данные, а в некоторых случаях — запросить код двухфакторной аутентификации, используя LastPass API. Интересно, что работает все это только в браузере Chrome. В других браузерах используется несколько иной способ вывода уведомлений сервиса.

По словам Кессиди, он уже обратился к разработчикам сервиса, и получил от них ответ о том, что это не уязвимость, а фишинг. По мнению специалиста, если представители компании не изменят принцип вывода уведомлений в Chrome, пользователи LastPass будут подвергаться опасности. Для того, чтобы не утерять свои данные, Кессиди советует использовать ввод данных на странице сервиса. Кроме того, хорошим выходом является аутентификация через приложение.
Proxy-Base-News вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Вкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
6 млн устройств уязвимы из-за бага 3х-летней давности Proxy-Base-News Новости IT 0 08.12.2015 00:00
Устройства Cisco уязвимы к атакам Proxy-Base-News Новости IT 0 28.11.2015 11:00
В менеджере паролей LastPass обнаружили кучу новых уязвимостей Proxy-Base-News Новости IT 0 19.11.2015 23:40
Банкоматы в Германии были уязвимы для хакеров Proxy-Base-News Новости IT 0 04.11.2015 00:20
Adobe: Acrobat и Flash уязвимы перед хакерами NTR Новости IT 0 07.06.2010 23:30




DDoS Protected




Мы в твиттере, Proxy-Base.Org Twitter

Proxy-Base Community - Анонимность и безопасность в интернете.
Наши партнеры: CRC Labs, SEO-Crack.Com, Garsuk.Com, SED Team, Skladchik.com, BSS Family

Powered by vBulletin® | Булка сделана в пекарне®
Copyright © 2000 - , Jelsoft Enterprises Ltd. Перевод: zCarot
Вся информация на сайте выложена исключительно в ознакомительных целях.