LastPass se mohl stát obětí kyberútoku

LastPass v současné době zavádí opatření proti phišingovému útoku, který byl popsán na veletrhu ShmooCon. Tento útok by mohl ohrozit citlivá data uživatelů.

Expert na bezpečnost Sean Cassidy a také šéf společnosti Praesidio, předvedl experiment, po kterém byl schopný vytvořit falešnou přihlašovací obrazovku služby LastPass, která byla pixel po pixeu zcela identická jako originál. Rozposlal pár phišingových emailů, které přesměrovávaly na falešnou přihlašovací obrazovku. Stránka pak uživateli oznámila, že byl odhlášen a měl by se znovu přihlásit za pomocí dvoufázového ověření. Hesla pak skončila v rukách Seana.

Společnost LastPass na to reagovala několika kroky ke zvýšení bezpečnosti. Jednou z nich je třeba email, který informuje uživatele pokaždé, když se někdo do účtu přihlásí z nové lokace nebo z nového zařízení. Email je třeba potvrdit, k čemuž by potenciální útočník potřeboval přístup do emailové schránky uživatele. Toto oznámení je v LastPass nastaveno jako defaultní.

Cassidy prohlásil, že je to dobrý krok k lepší bezpečnosti, avšak stejně je důležité ze strany uživatelů, aby používali hlavu. Oznamovací emaily mohou způsobit, že uživatelé zkrátka budou zvyklí, že je LastPass na vše upozorní sám.

Mezi další opatření k lepšímu zabezpečení je oznámení uživateli, když zadá své hlavní LastPass heslo někam mimo LastPass.

Zdroj: Threatpost