اكتشف باحث أمني في شركة "غوغل" ثغرة أمنية في تطبيق إدارة كلمات المرور "LastPass"، عرضت مستخدميه لخطر الاختراق. والباحث في فريق البحث عن الأخطاء في "غوغل" والمسمى "Google Project Zero"، تافيس أورماندي، كشف عن ثغرة أمنية عرضت مستخدمي "LastPass" والبالغ عددهم 16 مليونًا، بما في ذلك 58 ألف شركة، والتي تسرب آخر كلمة مرور تستخدم في أي موقع ويب تمت زيارته.
وعادةً ما يبلغ فريق "Google Project Zero" الشركات المعنية عندما يعثر على ثغرة أمنية، ويمنحها مدة 90 يومًا لإصدار إصلاح قبل الكشف العام عن الخلل. وبحسب الباحث، تكشف الثغرة عن بيانات اعتماد المستخدمين بسبب عدم تحديث ذاكرة التخزين المؤقت، مضيفًا أن "السبب في ذلك هو أنه يمكنك تجاوز ذاكرة التخزين المؤقت لبيانات اعتماد علامة التبويب التي يتم ملؤها من خلال تضمين تسجيل الدخول بطريقة غير متوقعة"، ويتطلب تنفيذها تعليمات "جافا سكريبت" خبيثة، دون أي تفاعل من قبل المستخدم.
ويمكن للقراصنة إخفاء برمجيات ضارة بسهولة خلف رابط معين، وخداع المستخدمين من أجل زيارة الرابط، ثم استخراج بيانات الاعتماد من موقع تمت زيارته مسبقًا. وأصدر تطبيق "LastPass" تصحيحًا للمشكلة برقم "4.33.0" في يوم 12 أيلول.
وأشار مدير هندسة الأمن في "LastPass"، فيرينك كون الى أن الخطأ اقتصر على متصفحي "كروم" و"أوبرا". وتنصح شركة "LogMeIn" المطورة لتطبيق "LastPass"، المستخدمين بإجراء تحديث يدوي في أقرب وقت ممكن، في حال عدم تفعيل آلية التحديث التلقائي.
