Kullanıcıların şifre karmaşasını çözmek için kullandığı LastPass isimli uygulama, bir güvenlik açığı ile gündeme geldi. Uygulamanın tarayıcı uzantısına giriş yapılınca bir önce kullanılan şifreye erişim imkanı sağlayan bir hata tespit edildi. Google’ın Project Zero ekibinden Tavis Ormandy tarafından tespit edilen LastPass güvenlik açığı için şirket anında hareket geçti.
SIM kartlarda tespit edilen korkutucu güvenlik açığı
LastPass güvenlik açığı kapatıldı
29 Ağustos tarihinde tespit edilerek yayınlanan hata raporunun ardından LastPass güvenlik açığı için harekete geçti. Açığın kapatılması ise 13 Eylül’ü buldu. Yayınlanan güncelleme tüm tarayıcılara dağıtıldı. Şirket, kullanıcıların son sürümü kullanıp kullanmadığını kontrol etmesi gerektiğini duyurdu.
Hatanın detaylarına bakacak olursak, kullanıcıları kötü niyetli bir web sitesine çeken hata, daha önce ziyaret edilen bir web sitesinde kullanılan bir şifreyi kullanması için kullanıcıları kandırıyor. Ormandy, kötü niyetli kişilerin bir URL’i gizlemek ya da tehlikeli bir siteye ziyarete yönlendirmek için Google Translate gibi hizmetleri kullandığını açıkladı.
LastPass could leak the last used credentials due to a cache not being updated. This was because you can bypass the tab credential cache being populated by including the login form in an unexpected way! https://t.co/bfLdDzSWS5
— Tavis Ormandy (@taviso) 16 Eylül 2019
PastPass söz konusu güncellemenin otomatik olarak yüklendiğini söylese de, güncellemeyi otomatik olarak yüklemeyi kapatan kullancıların kontrol etmesinde fayda olduğunu belirtelim.
Hatadan yalnızca Chrome ve Opera tarayıcılarının etkilendiği belirtildi. Ancak, önlem için yeni güncelleme tüm tarayıcılar için yayınlandı.
Ortada önemli bir güvenlik açığı olsa da bile bir şifre yöneticisi kullanmanın çevrim içi güvenliği sağlamak için atılması gereken önemli bir adım olduğunu belirtelim. Bu yöneticiler sayesinde kullanılan benzersiz şifreleri iki faktörlü kimlik doğrulamasıyla da desteklemeyi unutmayın.
Lastpass halen varmı ya