פירצת התחזות אותרה בשירות אחסון הסיסמאות LastPass

חוקר אבטחת המידע שון קסידי חשף פירצה נגד שירות שמירת הסיסמאות LastPass המאפשר, לתוקף לגנוב את הסיסמא, הדוא"ל ואפילו אימות דו שלבי של משתמש, ובכך לקבל גישה לכל הסיסמאות והמסמכים המאוחסנים עבורו בשירות. קסידי מעניק לפירצה את הכינוי LostPass.

הפירצה מבוססת על זיוף הודעה בדפדפן המשתמש, ללא שום הבדל בין ההודעה האמיתית לבין זו של הפורצים – שכפול מסך התראה  פיקסל לפיקסל.

מדובר על הודעה שהופיעה לראשונה על מסכו של קסידי לפני מספר חודשים לגבי פקיעת ה- session שלו והצורך לבצע כניסה מחודשת. קסידי שם לב כי ההודעה מופיעה ב- viewport של הדפדפן, והבין כי תוקף היה מסוגל לבנות הודעה דומה שתופיע בכל אתר בו המשתמש גולש, כאשר הוא רגיל לקבל הודעות מהשירות בצורה זאת.

לפני כן על הגולש לעבור באתר פגוע כדי לשתול אצלו את כלי הפריצה שיאפשר הצגת הודעה מזויפת ושליחת הנתונים לשרת התוקף. באמצעות API של LastPass התוקף אפילו יכול לאמת את הפרטים ולבדוק האם יש צורך באימות דו שלבי.

משם הדרך פתוחה לחלוטין לשליפת כל הסיסמאות, יצירת דלת אחורית, ביטול הצורך באימות דו שלבי, ועוד.

קסידי פנה ל- LastPass בנובמבר והם אימתו את הבעיה בדצמבר. תיקון הבעיה היה ארוך, ובהתחלה המנכ"ל שלהם טען כי: "אנו יכולים לאמת שמדובר בהתקפת פישינג ולא בפירצה ב- LastPass".

"אנו כתעשייה לא מגיבים היטב להתקפות פישינג. אני לא מאשים את LastPass בכך, הם כמו כל האחרים. אנו צריכים לבחון היטב פישינג ולהבין מה לעשות לגביהן. לדעתי הן רעות באותה מידה, אם לא יותר, מפרצות הפעלת קוד מרוחק רבות, ויש להתייחס אליהן בהתאם.

הקוד של כלי הפריצה פורסם ב-  GitHub