更多

    LastPass 把你的密碼告訴我?!

    LastPass 把你的密碼告訴我?!

    外國網民發現一款用來儲存使用者用戶名和密碼的瀏覽器擴充外掛 LastPass 存在漏洞,導致有心人可以透過瀏覽特殊網址,取得第三者的密碼!

    小型「尿袋」連 Macbook Pro 都充到

    一間公司計畫推出名為 Omnicharge 的外置充電器,能夠為手機、手提電腦、數碼相碼、航拍機、電視、音響等等電子產品充電,現時於 indiegogo 上集資。

    70 萬買環保「蝸居」輕鬆上樓

    以「自給自足」為目標的能源小屋,外面看起來像是一個膠囊,雖然只得86平方尺,但內裡設備齊全,可供兩人居住,更配備雨水收集系統、風力發電機及太陽能電池,提供乾淨食水,亦配合隔熱牆壁,能夠保持室內溫度,十分節能環保。

    容易忘記密碼的人一定會把 LastPass 視為恩物, LastPass 是專為瀏覽器設計的擴充外掛,幫助管理使用者所有網上帳號的名稱及密碼。使用者只要記著一組密碼登入 LastPass ,便可以紀錄所有網頁的帳號及密碼,亦有密碼自動填充功能,就不再怕忘記密碼。這個擴充外掛當然算是方便有用,但大家就需要留意一下私隱安全問題。因為有外國網民發現到它有 Bug ,能夠套取其他人的密碼。
    外國網民 Mathias Karlsson 在 LastPass 的密碼自動填充頁面找到 Bug,透過瀏覽 http://avlidienbrunn.se/@twitter.com/@hehe.php ,瀏覽器會依據 URL 瀏覽 avlidienbrunn.se ,但 LastPass 會誤認為正瀏覽 twitter.com 。由於擴充外掛只套取到 URL 編碼的最後一個「@」,所以使用者的twitter用戶名就會自動顯示出來。
    Lastpass bug
    網民將這個發現報告給 LassPass 團隊,不足一天,這個 Bug 已被修復,還送了 1,000 美元獎賞給他。不過,不知有幾多「有心人」曾利用這方法來套取了別人的密碼呢。這樣的話,究竟應不應該使用管理密碼的程式呢?
    資料來源:https://labs.detectify.com/2016/07/27/how-i-made-lastpass-give-me-all-your-passwords/

    您會感興趣的內容

    相關文章