Lastpass


Ett förhållandevis enkelt sätt att komma åt användaruppgifter har uppdagats hos lösenordshanteraren Lastpass. Enligt Sean Cassidy, som själv jobbar som tekniskchef, kan en phishingattack öppna upp för falska meddelanden som kan lura användaren på inloggningsuppgifter. Dessutom ska angriparen kunna fånga upp engångslösenord.

Lastpass är underrättat om problemet och ska ha vidtagit vissa åtgärder för att förbättra säkerheten. Enligt rapporteringen från IDG News handlar det dock mer om att attacken blivit svårare att genomföra utan användarens vetskap.

Läs också: Gratis webbhotell har hackats – över 13 miljoner lösenord säljs på nätet

Lastpass lagrar olika sajters lösenord, så man som användare bara behöver hålla koll på ett huvudlösenord. De erbjuder sina tjänster till både privatpersoner och företag. Det var inte länge sedan de råkade ut för en hackarattack. Intrånget gjorde att känslig information hamnade i orätta händer och företaget uppmanade användarna att byta ut sina lösenord.

Sean Cassidy har publicerat verktyg och proof-of-concept på Github och på sin blogg där han beskriver hur attacken gått till. Han visar hur programmet skickar en varning till användaren som säger att hen loggats ut från tjänsten. Men varningen kan vara falsk och kan ha skickats från en hackare för att lura personen till en skadlig sajt. Är tvåfaktorsautentisering aktiv kan även sådana uppgifter stjälas. Resultatet blir att offrets alla lösenord kan samlas in genom att använda Lastpass egna api.

Sean Cassidy säger att hans avslöjande visar att mjukvara behöver vara mer motståndskraftig mot phishingattacker. Ofta klandras användaren och de måste tränas i att känna igen fejkade mejl. Men han tycker att det är fel väg att gå och saknar effekt eftersom de fejkade varningarna inte skiljer sig så mycket från de verkliga varianterna.