Уязвимость в LastPass делала двухфакторную аутентификацию бесполезной
В программном обеспечении под названием LastPass была пофикшена критическая уязвимость, которая дает возможность обхода системы двухфакторной авторизации. Как сообщает нашедший уязвимость эксперт Мартин Виго, использовать ее есть возможно только узнав мастер пароль человека.
Однако эта проблема недостаточно оценена. Данная авторизация дает второй уровень в безопасности на ту ситуацию, когда киберпреступники как-то похитили основной главный пароль человека. Найденная Виго уязвимость делают по сути отключенной двухфакторную авторизацию, что лишает человека ровно половины его защищенности.
Уязвимость была по той причине, что приватные криптоключи LastPass были зашифрованы в QR коде и хранились по ссылке, которая генерируется на базе пароля. Киберпреступнику, который знает этот пароль, может узнать локальный QR код, получить оба кода и произвести открытие парольного менеджера.
Виго описал методику атаки. Киберпреступник используя социнженерию узнает у клиента при помощи кроссайтового скриптинга QR код, который расположен по локальной ссылке, сгенерированной на базе главного пароля, и при помощи кроссайтового скриптинга производит загрузку и сохранение данного изображения. После этого этого он производит сканирование кода QR используя Google Authenticator, который используется в LastPass для двухступенчатой авторизации, обретает второй пароль и получает возможно просмотра парольного менеджера.
Виго сказал разработчику этой зимой о наличии уязвимости, и буквально сразу же опубликовали временный фикс. Двадцатого апреля бага была полноценно пофикшена.
Заметили опечатку или ошибку? Выделите текст и нажмите Ctrl+Enter, чтобы сообщить нам о ней.
Известное в мире издание The New York Times рассказало, какую плату понесет популярная социальная сеть Х после неумелой шутки Илона Маска. Сообщается, что социальная сеть X рискует лишиться $75 млн…
Итальянские журналисты сообщили миру о том, что 22 августа перестало биться сердце известного певца Тото Кутуньо. Пишет информационный сайт ПитерБургер. Умер знаменитый итальянский певец Тото Кутуньо — причина смерти Печальная…
Отечественные СМИ сообщают что днями не стало белорусского писателя Виктора Карамазова. Белорусский писатель и сценарист, журналист, а также лауреат Государственной премии Белорусской ССР, Член Союза писателей СССР скончался 16 августа 2023 года…
4–6 августа в подмосковной Рузе состоялось громкое событие этого лета – фестиваль СИГНОН OPEN AIR FEST 2023, созданный известными педагогами, музыкантами и музыкальными продюсерами. Хедлайнерами фестиваля выступили: группа UMA2RMAN, ЛИНДА,…