LastPass แก้ไขบั๊กที่แสดงรหัสผ่านแล้ว เช็คด่วนว่า LastPass คุณ update แล้วหรือยัง?

LastPass ได้ update ช่องโหว่ด้านความปลอดภัยแล้ว ช่องโหว่นี้จะช่วยให้แฮกเกอร์สามารถขโมยข้อมูลผู้ใช้ได้ผ่านทางเว็บไซต์ล่าสุดที่ผู้ใช้ได้ทำการ Login เข้าไป

ช่องโหว่นี้พบในเบราว์เซอร์ Chrome และ Opera แต่การที่แฮกเกอร์จะได้ข้อมูลไปนั้นไม่ใช่เรื่องง่ายเลย เพราะจะต้องผ่านหลายขั้นตอนถึงจะได้ข้อมูลมา

Tavis Ormandy นักวิศวกรด้านความปลอดภัยจาก Google เป็นผู้พบช่องโหว่นี้ โดยอธิบายว่า แฮกเกอร์จะทำการโจมตีแบบ clickjacking หากมีผู้ใช้ LastPass ทำการ Login เข้าไปยังเว็บไซต์ที่แฮกเกอร์สร้างขึ้น โดยเว็บนั้นจะต้องอยู่บน Tab เดียวกันกับที่ผู้ใช้ Login LastPass ไว้ เมื่อผู้ใช้ใส่รหัสผ่านลงไป ขั้นตอนการยืนยันจะถูกข้ามทันที ทำให้แฮกเกอร์ได้รับค่าแคชใน Tab ปัจจุบันทันที

เมื่อเดือนสิงหาคม Tavis ได้รายงานปัญหานี้ไปยัง LastPass แล้วซึ่งทางบริษัทได้ยอมรับว่ามีช่องโหว่จริง และได้แก้ไขช่องโหว่นี้เรียบร้อยแล้ว

เพื่อเป็นการป้องกัน แนะนำให้ผู้ใช้งาน LastPass ปฏิบัติดังนี้

  • อย่าคลิกลิงค์ที่ไม่รู้จัก
  • เปิดการยืนยันแบบหลายขั้นตอน (multi-factor authentication (MFA)) ในทุกบริการที่รองรับการใช้งานนี้
  • อย่าใช้รหัสผ่านเดียวกันกับรหัสที่ใช้ login เข้า LastPass
  • รหัสผ่านสำหรับแต่ละบัญชีห้ามซ้ำกัน
  • update โปรแกรม anti-virus และโปรแกรมต่างๆ บนเครื่งอคอมพิวเตอร์ให้เป็นเวอร์ชั่นล่าสุด

ที่มา : Bleeping Computer