ابزار مدیریت پسورد LastPass دارای باگی بود که می‌توانست باعث لو رفتن پسوردها شود. اکنون این نقص برطرف شده است.

LastPass ابزاری برای مدیریت گذرواژه‌ها است که به کاربران کمک می‌کند تا از حفظ کردن تعداد زیادی پسورد بی‌نیاز شوند. این ابزار به صورت افزونه‌هایی برای مرورگرهای مختلف موجود است. به تازگی تاویس اورماندی عضو پروژه صفر گوگل، موفق شده بود آسیب‌پذیری‌ای را در این افزونه‌ها کشف کند که می‌توانست به افشای پسورد کاربر منجر شود. تراویس این باگ را به طور محرمانه به LastPass گزارش داد و LastPass با انتشار نسخه جدید آن را برطرف کرد.

برای سوء استفاده از این باگ، کاربر هدف ابتدا باید صفحه وبی را باز کند و با استفاده از LastPass گذرواژه خود را وارد کند. پس از آن، اگر کاربر صفحه وب بدخواه را باز کند، این صفحه وب می‌تواند با تکنیک clickjacking پسورد کاربر را بدزدد. در واقع فردی که صفحه بدخواه را طراحی کرده است، باید با تکنیک‌هایی مثل فیشینگ، قربانی را به صفحه خود هدایت کند.

اکنون این افزونه توسط به طور خودکار به‌روزرسانی می‌شود. با این وجود، LastPass برای امنیت بیشتر توصیه می‌کند:

• مراقب حملات فیشینگ باشید.
• برای LastPass و حساب‌های بانکی و سایر حساب‌های کاربری خود از احراز هویت چندعاملی (MFA) استفاده کنید.
• پسورد اصلی LastPass را برای اکانت‌های دیگر استفاده نکنید و آن را به کسی نیز ندهید.
• برای حساب‌های مختلف از پسوردهای متفاوت استفاده کنید.
• همواره رایانه خود را از بدافزارها پاک نگه دارید.