الرئيسية / أخبار تقنية / خلل في خدمة إدارة كلمات المرور LastPass قد يسمح بسرقة بيانات الاعتماد المستخدمة مسبقًا

خلل في خدمة إدارة كلمات المرور LastPass قد يسمح بسرقة بيانات الاعتماد المستخدمة مسبقًا

قد تسمح مشكلة عدم حصانة الأمان في امتداد خدمة إدراة كلمات المرور LastPass بسرقة بيانات الاعتماد الأخيرة المستخدمة لتسجيل الدخول إلى موقع ويب.

كان استغلال الأخطاء أمرًا ممكنًا في متصفحات الويب Google Chrome و Opera يتطلب بعض الجهد لتحقيق النجاح حيث أن الهدف يحتاج إلى متابعة عدة خطوات.

وجد مهندس أمان جوجل Tavis Ormandy أنه يمكن للمهاجم إنشاء سيناريو صالح للنقر فوق النقر للمستخدم الذي استخدم LastPass لتسجيل الدخول إلى حساب وتوجيهه إلى موقع ويب ضار أو ضار محمّل بإطار iframe تم إنشاؤه خصيصًا.

في الكشف عن الثغرات الأمنية الذي تم تقديمه إلى LastPass يعرض الباحث تفاصيل الجانب الفني وكيف يمكن أن تكشف عملية النقر اللاحقة عن آخر بيانات اعتماد يستخدمها الضحية.

ويوضح أن السرقة ستكون ناجحة إذا حدثت جميع الإجراءات في علامة التبويب نفسها من خلال وضع الإطار المنبثق في نافذة iframe التي تطالب بملء كلمة المرور تم تخطي خطوة في سلسلة التحقق وسيتم تسريب آخر نسخة مخبأة في علامة التبويب الحالية.

وكتب Ormandy في التقرير المرسل إلى LastPass في نهاية أغسطس “أنه من خلال بعض عمليات النقر يمكنك تسريب بيانات اعتماد الموقع السابق الذي تم تسجيل الدخول إليه في علامة التبويب الحالية”.

ايضًا بعد العبث مع الخطأ لفترة من الوقت وجد الباحث طريقة لأتمتة تسرب بيانات الاعتماد على موقع جوجل على الويب على الرغم من أن الطريقة قد لا تعمل مع جميع مواقع الويب إلا أن Ormandy يعتقد أن الخطأ لديه خطورة عالية.

وأشار الباحث إلى المشكلات الأخرى التي تم اكتشافها في LastPass والتي يمكن الاستفادة منها بواسطة المهاجم وواحد منهم هو إمكانية إنشاء أحداث هوتكي التعسفي بسبب عدم التحقق من الأحداث الموثوق بها.

سمحت مشكلة أخرى بتعطيل عمليات التحقق الأمني ​​المتعددة بينما سمحت مشكلة ثالثة بتجاوز العديد من عمليات التحقق المتعلقة بالأمان.

تم تحديث ملحقات LastPass بعد ان أقر صناع مدير كلمة المرور بالثغرة الأمنية وفي يوم الجمعة نشروا إشعارًا يعلنون فيه أنهم حلوا الخطأ.

وتلاحظ الشركة أنه “على الرغم من أن أي تعرض محتمل بسبب الخطأ كان مقصورًا على متصفحات محددة (Chrome و Opera) كإجراء وقائي فقد قمنا بنشر التحديث على جميع المتصفحات.” وستتم العملية تلقائيًا حتى لا يضطر المستخدمون إلى اتخاذ أي إجراء.

اخيرًا إليكم أفضل الممارسات الموصى بها لمستخدمي LastPass :

• الابتعاد عن الروابط من أفراد مجهولين

• تشغيل المصادقة متعددة العوامل (MFA) لجميع الخدمات التي تدعم الميزة

• لا تعيد استخدام كلمة المرور الرئيسية لمدير كلمة المرور أو تشاركها

 • إنشاء كلمة مرور فريدة لكل حساب عبر الإنترنت

• تشغيل مكافحة فيروسات محدّث والاحتفاظ بالبرنامج على جهاز الكمبيوتر الخاص بك في أحدث إصدار

عن فدوى

شاهد أيضاً

أحدث ميزة أمان في إنستقرام تتيح لك إدارة أذونات تطبيقات الجهات الخارجية

‫أعلنت الشبكة الاجتماعية إنستقرام عن إطلاق ميزة جديدة تتيح للمستخدمين التحكم في البيانات التي يشاركونها …

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *