כאילו שלא מספיק קשה לנו גם ככה עם כל העסק הזה של הסיסמאות ברשת, אמש (ד') התברר שגם מי שאמור להקל עלינו ולמור לנו על הסיסמאות לא עושה עבודה מספיק טובה. צוות LastPass הודה כי בתוכנה שלו נמצאו שתי פרצות חמורות שדרכן יכלו האקרים לגנוב את כל הסיסמאות של המשתמשים.
LastPass הוא תוסף שזמין לכל הדפדפנים הפוופולאריים למחשבים, ושומר את כל הסיסמאות שלכם כך שבכל פעם שתנסו להיכנס לאתר כלשהו הוא יזין במקומכם את הפרטים. אלא שמסתבר שלא רק אתם יכולים לקבל מהתוסף את שמות המשתמש והסיסמאות שלכם.
הפרצה החמורה הראשונה בתוסף נמצאה על ידי מתיאס קרלסון מ-Detectify Labs, לפני יותר משנה, ונחשפה רק אתמול. חוקר האבטחה השוודי בן ה-24 מצא שכדי להזין את הסיסמאות אוטומטית התוסף מנתח את כתובת האתר בה אתם גולשים, אך בצורה רשלנית שמתעלמת מהסימן @. כך, כל מה שהאקר צריך לעשות כדי לגנוב מכם שם משתמש וסיסמה לאתר כלשהו הוא ליצור דף כניסה מזויף שכולל את כתובת האתר המבוקש (למשל: www.imahacker.com/@facebook.com יפורש על ידי התוסף כ-facebook.com).
לדברי קרלסון, הדיווח שלו טופל בזמנו תוך פחות מיום והוא קיבל מהחברה פרס בגובה 1,000 דולר. עם זאת, לא ברור למה חיכו גם קרלסון וגם החברה כל כך הרבה זמן לפני הדיווח על הבעיה והתיקון.
פרצה אחרת נמצאה רק אתמול על ידי טאביס אורמנדי, חוקר אבטחה המועסק בגוגל. אורמנדי מצא שגרסת הפיירפוקס של LastPass כוללת פרצה שנותנת להאקר שליטה מוחלטת על החשבון של המשתמש, על כל הסיסמאות שבו. לאחר שליחת המשתמש דף זדוני שמנצל את הפרצה יכול ההאקר לגנוב את כל הסיסמאות שלו ולמחוק אותן מהחשבון, כך שהמשתמש לא יקבל אותן אוטומטית בעת גלישה לאתרים ואילו ההאקר יוכל להיכנס לכל החשבונות של המשתמש.
לדברי אורמנדי, הפרצה היתה כל כך פשוטה למציאה שהוא לא מבין איך מישהו יכול בכלל להשתמש בתוכנה.
"האם אנשים באמת משתמשים ב-LastPass הזה? נתתי הצצה מהירה ואני יכול לראות מספר בעיות קריטיות ברורות. אשלח דיווח במהרה", הוא כתב בטוויטר.
Are people really using this lastpass thing? I took a quick look and can see a bunch of obvious critical problems. I'll send a report asap.
— Tavis Ormandy (@taviso) July 26, 2016
יש לציין כי גוגל, בה עובד אורמנדי, זכתה לביקורת קשה לפני כשלוש שנים לאחר שחוקר האבטחה אליוט קמבר גילה כי מנהל הסיסמאות של דפדפן כרום שלה מציג את הסיסמאות כטקסט פשוט. התשובה של גוגל היתה מדהימה: ג'סטין שו, מנהל האבטחה של דפדפן כרום, טען שאם האקר הצליח לחדור למחשב של המשתמש - הוא ממילא כבר יכול היה לעשות מה שהוא רוצה, שכן כל אמצעי האבטחה הם "הצגת תיאטרון".