LastPass güvenlik açığı kapatıldı, şifreler güvende!

29 Ağustos tarihinde tespit edilerek yayınlanan hata raporunun ardından LastPass güvenlik açığı için harekete geçti. Açığın kapatılması ise 13 Eylül’ü buldu. Yayınlanan güncelleme tüm tarayıcılara dağıtıldı. Şirket, kullanıcıların son sürümü kullanıp kullanmadığını kontrol etmesi gerektiğini duyurdu.

Hatanın detaylarına bakacak olursak, kullanıcıları kötü niyetli bir web sitesine çeken hata, daha önce ziyaret edilen bir web sitesinde kullanılan bir şifreyi kullanması için kullanıcıları kandırıyor. Ormandy, kötü niyetli kişilerin bir URL’i gizlemek ya da tehlikeli bir siteye ziyarete yönlendirmek için Google Translate gibi hizmetleri kullandığını açıkladı.

LastPass could leak the last used credentials due to a cache not being updated. This was because you can bypass the tab credential cache being populated by including the login form in an unexpected way! https://t.co/bfLdDzSWS5

— Tavis Ormandy (@taviso) 16 Eylül 2019

PastPass söz konusu güncellemenin otomatik olarak yüklendiğini söylese de, güncellemeyi otomatik olarak yüklemeyi kapatan kullancıların kontrol etmesinde fayda olduğunu belirtelim.

Hatadan yalnızca Chrome ve Opera tarayıcılarının etkilendiği belirtildi. Ancak, önlem için yeni güncelleme tüm tarayıcılar için yayınlandı.

Ortada önemli bir güvenlik açığı olsa da bile bir şifre yöneticisi kullanmanın çevrim içi güvenliği sağlamak için atılması gereken önemli bir adım olduğunu belirtelim. Bu yöneticiler sayesinde kullanılan benzersiz şifreleri iki faktörlü kimlik doğrulamasıyla da desteklemeyi unutmayın.