A LastPass az egyik legtöbbek által használt jelszómenedzser alkalmazás, már csak azért is, mivel minden fontos operációs rendszerrel (beleértve a Linuxot) együttműködik, és mobil eszközökre is könnyen elérhető.

A napokban azonban kiderült, hogy egy óriási biztonsági rés van benne, amit adathalászok kihasználhatnak. Sean Cassidy szoftvermérnök, biztonsági szakember a blogján osztotta meg a LostPassnak elnevezett adathalász-támadás tudnivalóit. A támadó egy trükkös módszerrel hozzáférhet a felhasználó emailcíméhez, jelszavaihoz, sőt kéttényezős biztonsági kódjaihoz is.

Sean Cassidy

Ehhez egy olyan bejelentkező képernyőt jelenít meg, ami pixelről pixelre megegyezik a LastPasséval, így a felhasználó nem fog gyanút, szépen megadja a jelszavait. A blogban tanácsokat is ad a szakember az ilyesfajta támadás kivédéséhez (pl. ignoráljuk a böngészőben felugró LastPass bejelentkezési oldalt, engedélyezzük az IP-korlátozást), sőt alternatív jelszómenedzsereket is ajánl.

Arról is ír, hogy ha valaki tudni szeretné, hogy megtámadták-e, vizsgálja meg a LastPass Account Historyt, ami mutatja a bejelentkezési kísérleteket.