LastPass 把你的密碼告訴我?!

容易忘記密碼的人一定會把 LastPass 視為恩物, LastPass 是專為瀏覽器設計的擴充外掛,幫助管理使用者所有網上帳號的名稱及密碼。使用者只要記著一組密碼登入 LastPass ,便可以紀錄所有網頁的帳號及密碼,亦有密碼自動填充功能,就不再怕忘記密碼。這個擴充外掛當然算是方便有用,但大家就需要留意一下私隱安全問題。因為有外國網民發現到它有 Bug ,能夠套取其他人的密碼。

外國網民 Mathias Karlsson 在 LastPass 的密碼自動填充頁面找到 Bug,透過瀏覽 http://avlidienbrunn.se/@twitter.com/@hehe.php ,瀏覽器會依據 URL 瀏覽 avlidienbrunn.se ,但 LastPass 會誤認為正瀏覽 twitter.com 。由於擴充外掛只套取到 URL 編碼的最後一個「@」,所以使用者的twitter用戶名就會自動顯示出來。

Lastpass bug

網民將這個發現報告給 LassPass 團隊,不足一天,這個 Bug 已被修復,還送了 1,000 美元獎賞給他。不過,不知有幾多「有心人」曾利用這方法來套取了別人的密碼呢。這樣的話,究竟應不應該使用管理密碼的程式呢?

資料來源:https://labs.detectify.com/2016/07/27/how-i-made-lastpass-give-me-all-your-passwords/