Travis Ormandy นักวิจัยจาก Project Zero ของกูเกิ้ล พบช่องโหว่ความปลอดภัยสำคัญในโปรแกรมจัดเก็บรหัสผ่านชื่อดังอย่าง LastPass ที่เปิดช่องให้แฮ็กเกอร์ขโมยรหัสผ่านได้โดยง่าย
ก่อนหน้านี้ มีการรายงานว่า LastPass เวอร์ชั่น 3.3.2 พบบั๊กบางอย่าง ซึ่งทาง LastPass ได้เร่งออกแพ็ตช์เพื่ออุดช่องโหว่นั้น แต่เมื่อสามารถอุดช่องโหว่ได้อย่างเป็นทางการแล้ว ทาง Ormandy กลับพบช่องโหว่อีกจุดหนึ่งขึ้นมาแทน
โดยพบว่า LastPass รุ่น 4.1.42 (ทั้งบน Chrome และ Firefox) ต่างมีบั๊กที่เปิดช่องแฮ็กเกอร์ได้ และเป็นช่องโหว่ที่ร้ายแรงกว่าอันก่อนหน้าเสียอีก ทำให้แฮ็กเกอร์จะสามารถขโมยรหัสผ่านของโดเมนไหนก็ได้ นอกจากนี้ถ้าติดตั้งรุ่นที่เป็นแบบไบนารีแล้ว แฮ็กเกอร์ก็สามารถเล่นงานได้หนักขึ้นไปอีกด้วยการสั่งรันโค้ดใดๆ ก็ได้ตามต้องการผ่านการรีโมตจากระยะไกล
Ormandy ได้เปิดเผยรายละเอียดของช่องโหว่นี้แก่สาธารณะ พร้อมให้เหตุผลในการเปิดเผยครั้งนี้ว่ามาจากความเกี่ยวข้องกับสคริปต์ยอดนิยม websiteConnector.js ที่แฮ็กเกอร์สามารถใช้ส่งข้อความที่ไม่ผ่านการยืนยันตัวตนมาหา Extension นี้เพื่อบีบให้ส่งข้อมูลรหัสผ่าน หรือสั่งรันโค้ดได้ตามใจ
ล่าสุด ทาง LastPass ได้เขียนบล็อกว่า ได้ออกแพ็ตช์ฉุกเฉินที่บังคับอัพเดตแก่ผู้ใช้ทุกราย ให้มีการไล่อัพเดตโดยอัตโนมัติแล้ว นอกจากนี้ยังไม่พบข่าวว่ามีการใช้ช่องโหว่นี้เพื่อโจมตีอย่างจริงจังมาก่อนด้วย
ที่มา : https://www.hackread.com/lastpass-password-manager-security-flaw/
