Detectify รายงานช่องโหว่ของซอฟต์แวร์เก็บรหัสผ่าน LastPass ที่มีบริการเติมรหัสผ่านลงเว็บอัตโนมัติ

ช่องโหว่นี้เกิดจากตัวอ่าน URL ของ LastPass มีบั๊กไม่อ่านตัว at-sign (@) ทำให้เมื่อแฮกเกอร์สร้าง URL อย่างจงใจหลอก LastPass เช่น http://avlidienbrunn.se/@twitter.com/@hehe.php จะสามารถหลอกปลั๊กอินว่าเป็นเว็บ twitter.com ได้ และ LastPass จะถูกหลอกให้ใส่รหัสผ่านของ twitter.com ลงเว็บอื่นได้โดยง่าย

ทาง Detectify ระบุว่าแม้ซอฟต์แวร์ช่วยจำรหัสผ่านจะมีปัญหาบ้าง แต่ก็ยังดีกว่าการใช้รหัสผ่านซ้ำในหลายๆ บริการมาก อย่างไรก็ดีผู้ใช้อาจจะเลือกปิดการช่วยเติมรหัสผ่านอัตโนมัติไป เพราะฟีเจอร์นี้มีช่องโหว่มาแล้วหลายครั้ง

ทาง LastPass ออกเวอร์ชั่นใหม่แก้ไขปัญหานี้แล้ว

ที่มา - Detectify