LastPass,一个优秀的在线密码管理器和页面过滤器,采用了强大的加密算法,使用户在浏览网页时,更加轻松和安全。但最近却被爆出,LastPass中存在着严重的漏洞,该漏洞会泄漏用户的账户信息。
近期,一名叫Sean Cassidy的安全研究员,发明了一种新的网络钓鱼攻击方式。该攻击有趣的地方就在于,它不仅像传统的攻击方式那样,利用了软件的漏洞,还在其中融入社会工程学的内容。按照Cassidy的描述,我们可以看到,这种攻击方式有点将以上两者玩弄于鼓掌之间的意味。Sean Cassidy,指出,通过这种网络攻击,可以使得一封简单的电子邮件绕过用户的安全防护,比如:双重认证措施。
根据Cassidy的说法,这种攻击会骗取用户在LastPass上使用的主密码,以及用户在浏览器对话框中使用的身份验证码(双重验证:主密码+身份验证码)。
若用户一旦访问了运行着java脚本的恶意网站,就自动运行了其中的攻击代码。用户在浏览器上会看一个对话框,提示:该用户已经退出,请重新登录。这种提示信息和LassPass网站上出现的提示信息没什么区别,很容易就会误导用户。若用户采用的是双重认证方式,它就会让用户在提交主密码的同时,也要提交身份验证码。黑客一旦拿到这两个密码,他们就可以进入用户在LastPass的数据库,盗取所有数据。
Cassidy解释了为什么LastPass容易受到CSRF的攻击,(CSRF:croos-site request forgery,跨站请求伪造攻击,黑客使用CSRF,能轻易地迫使用户的浏览器发送隐藏的HTTP请求,例如,欺诈的网络传输请求,这可以改变用户的密码以及下载恶意文件。)同时,他也对类似LastPass的软件的工作原理作出了解释。这类软件是基于浏览器的密码管理器,在云中存储用户密码。“这种存储方式比起用户用自己的设备存储,危险性要高很多。”Cassidy说道。而另一个漏洞是,像LastPass类似的运营商,他们在存储用户密码的同时,还会将密码进行备份,这实在是一个愚蠢的举动。对于用户来说:一方面,这种服务确实很便捷;而另一方面,它就给黑客制造了机会,来窃取用户的数据备份。
早在去年11月,Cassidy就指出了这些漏洞。同时,LastPass公司也作出相关说明,会和他一起来修复这些漏洞。但后来,该公司的态度却发生了一百八十度的改变,表示LastPass本身没有问题,而是黑客的钓鱼攻击,才导致了漏洞的出现,与他们公司无关。
随后,该公司迅速更新了LastPass,防止用户的账户信息被恶意注销,并且改进了安全防护措施。以防用户在其他恶意软件上,输入了自己的主密码,公司能够及时地通知用户,进行密码保护。
Cassidy坚称,遇到攻击时,LastPass发出的这种安全警报,黑客通过他们控制的网站就可以检测到。他们可以终止服务器的运行,切断这种数据防护。“在进行数据安全防护时,如何把网络钓鱼攻击和远程代码执行漏洞两者区分开,这是极其重要的”他强调说。
“黑客们可能会采用不同的方式实施攻击,但他们的最终目的只有一个:盗取用户数据。因此,我们要更好地致力于用户数据的安全维护。某些时候,为了确保数据安全,要敢于放弃自己公司的利益。”
发表评论
您还未登录,请先登录。
登录