LastPass, שירות ניהול הסיסמאות הפופולרי בעולם, הכיל פרצה שאפשרה להאקרים לחשוף את פרטי החשבונות של משתמשים. מי שגילה את הפרצה הוא טאוויס אורמאנדי, חוקר אבטחה בצוות Project Zero של גוגל (Google), שדיווח עליה ל-LastPass בסוף אוגוסט. בסוף השבוע נחשפו פרטי הפרצה לאחר שתוקנה.
לפי אורמאנדי, הבעיה היתה בדרך שבה עובדים חלונות קופצים בתוסף LastPass לדפדפני Chrome (כרום) ו-Opera (אופרה). התוצאה היתה שתוקפים יכלו לגשת לשם המשתמש והסיסמה האחרונים שמולאו באמצעות השירות על ידי שליחת הגולש לאתר זדוני.
חברת LastPass, מצידה, ניסתה להרגיע את 16 מיליון המשתמשים שלה. בפוסט שהעלתה בסוף השבוע נכתב כי “כדי לנצל את הבאג הזה, סדרת פעולות צריכה להינקט על ידי משתמש LastPass, הכוללת מילוי הסיסמה בעזרת אייקון התוסף, לאחר מכן ביקור באתר פרוץ או זדוני ולבסוף לחיצה על העמוד מספר פעמים”.
החברה הדגישה כי עדכנה את התוסף לפני אישור חשיפת פרטי הבאג, וכי הוא אמור היה להתעדכן אוטומטית לגרסה 4.33.0 – ומשתמשים יכולים לוודא זאת על ידי בדיקת האודות (לחיצה על האייקון האדום עם שלוש הנקודות בדפדפן -> Account Options -> About LastPass), ולעדכן ידנית במקרה שהתוסף עדיין לא עודכן.
החברה הוסיפה כי היא ממליצה למשתמשים לא ללחוץ על קישורים המתקבלים מאנשים זרים, או אפילו מאנשי הקשר אך באופן חשוד; להפעיל אימות דו-שלבי כדי שהסיסמה לבדה לא תאפשר להאקרים לחדור לחשבונות; לא להשתמש באותה סיסמה המשמשת לנעילת ‘כספת’ הסיסמאות ב-LastPass; להשתמש בסיסמה שונה לכל שירות; ולהשתמש בתוכנת אנטיוירוס כדי למנוע מרושעות להגיע למחשב.