Ученые из Калифорнийского университета в Беркли (США) поведали об обнаружении ряда критических уязвимостей в популярных онлайн-менеджерах паролей." Дыры", например, были найдены в LastPass, PasswordBox, RoboForm, My1login и NeedMyPassword. Самые серьезные из ошибок позволяли злоумышленникам удаленно завладеть конфиденциальной информацией, не оставляя каких-либо следов взлома.
Подробный отчет, посвященный безопасности складирования паролей в онлайн-менеджерах, будет предоставлен в предстоящем месяце. Отмечается, что LastPass и разработчики трех из 4-х вышеупомянутых сервисов уже устранили уязвимости. Так или иначе, сам факт их наличия может представлять серьезную опасность в будущем, заявили ученые.
Самая опасная " дыра" была найдена в LastPass — менеджере, которым пользовалось более миллиона человек (по положению на 2011 год). Ошибка в букмарклете (JavaScript-коде, который сохраняется в виде браузерной закладки) позволяла мошенникам незаметно украсть логины и пароли, как только пользователь нажмет на закладку. Из-за еще одной лазейке в LastPass хакеры (в случае, если им известна электронная почта жертвы) могли извлечь зашифрованную базу паролей и другие данные.
Другие менеджеры тоже оказались не без изъянов. К примеру, критические ошибки, допущенные создателями PasswordBox, могли привести к краже млн. реальных имен, логинов и URL-адресов, где пользователи обязаны вводить пароли. Подобные " дыры" были найдены в RoboForm, My1login и NeedMyPassword.
Важно, что ученые изучали на предмет уязвимостей только те менеджеры, которые держат данные в " облаке" и синхронизируют ее между разными браузерами и устройствами. Приложения, хранящие базу паролей локально, ими не рассматривались.