Уязвимость в LastPass делала двухфакторную аутентификацию бесполезной

В программном обеспечении под названием LastPass была пофикшена критическая уязвимость, которая дает возможность обхода системы двухфакторной авторизации. Как сообщает нашедший уязвимость эксперт Мартин Виго, использовать ее есть возможно только узнав мастер пароль человека.

Однако эта проблема недостаточно оценена. Данная авторизация дает второй уровень в безопасности на ту ситуацию, когда киберпреступники как-то похитили основной главный пароль человека. Найденная Виго уязвимость делают по сути отключенной двухфакторную авторизацию, что лишает человека ровно половины его защищенности.

Уязвимость была по той причине, что приватные криптоключи LastPass были зашифрованы в QR коде и хранились по ссылке, которая генерируется на базе пароля. Киберпреступнику, который знает этот пароль, может узнать локальный QR код, получить оба кода и произвести открытие парольного менеджера.

Виго описал методику атаки. Киберпреступник используя социнженерию узнает у клиента при помощи кроссайтового скриптинга QR код, который расположен по локальной ссылке, сгенерированной на базе главного пароля, и при помощи кроссайтового скриптинга производит загрузку и сохранение данного изображения. После этого этого он производит сканирование кода QR используя Google Authenticator, который используется в LastPass для двухступенчатой авторизации, обретает второй пароль и получает возможно просмотра парольного менеджера.

Виго сказал разработчику этой зимой о наличии уязвимости, и буквально сразу же опубликовали временный фикс. Двадцатого апреля бага была полноценно пофикшена.

Заметили опечатку или ошибку? Выделите текст и нажмите Ctrl+Enter, чтобы сообщить нам о ней.

Материалы партнеров:

Читайте другие новости: