கடந்த வாரம், பிரபலமான கடவுச்சொல் நிர்வாகியான LastPass இன் டெவலப்பர்கள் ஒரு புதுப்பிப்பை வெளியிட்டனர், இது பயனர் தரவு கசிவுக்கு வழிவகுக்கும் பாதிப்பை சரிசெய்கிறது. சிக்கல் தீர்க்கப்பட்ட பிறகு அறிவிக்கப்பட்டது மற்றும் LastPass பயனர்கள் தங்கள் கடவுச்சொல் நிர்வாகியை சமீபத்திய பதிப்பிற்கு புதுப்பிக்க அறிவுறுத்தப்பட்டனர்.
கடைசியாகப் பார்வையிட்ட இணையதளத்தில் பயனரால் உள்ளிடப்பட்ட தரவைத் திருட, தாக்குபவர்களால் பயன்படுத்தப்படும் பாதிப்பைப் பற்றி நாங்கள் பேசுகிறோம். தகவல் பாதுகாப்புத் துறையில் ஆராய்ச்சியை மேற்கொண்டு வரும் கூகுள் புராஜெக்ட் ஜீரோ திட்டத்தின் உறுப்பினரான டேவிஸ் ஓர்மண்டி கடந்த மாதம் இந்தச் சிக்கலைக் கண்டுபிடித்தார்.
LastPass தற்போது மிகவும் பிரபலமான கடவுச்சொல் நிர்வாகி. டெவலப்பர்கள் முன்னர் குறிப்பிடப்பட்ட பாதிப்பை பதிப்பு 4.33.0 இல் சரிசெய்தனர், இது செப்டம்பர் 12 அன்று பொதுவில் கிடைத்தது. பயனர்கள் LastPass இன் தானியங்கி புதுப்பிப்பு அம்சத்தைப் பயன்படுத்தவில்லை என்றால், மென்பொருளின் சமீபத்திய பதிப்பை கைமுறையாக பதிவிறக்கம் செய்ய அறிவுறுத்தப்படுகிறார்கள். இது முடிந்தவரை விரைவாக செய்யப்பட வேண்டும், ஏனென்றால் பாதிப்பை சரிசெய்த பிறகு, ஆராய்ச்சியாளர்கள் அதன் விவரங்களை வெளியிட்டனர், இது பயன்பாடு இன்னும் புதுப்பிக்கப்படாத சாதனங்களிலிருந்து கடவுச்சொற்களைத் திருட தாக்குபவர்களால் பயன்படுத்தப்படலாம்.
பாதிப்பைச் சுரண்டுவது என்பது, எந்தவொரு பயனர் தொடர்பும் இல்லாமல், இலக்கு சாதனத்தில் தீங்கிழைக்கும் ஜாவாஸ்கிரிப்ட் குறியீட்டை செயல்படுத்துவதை உள்ளடக்கியது. கடவுச்சொல் மேலாளரில் சேமிக்கப்பட்ட நற்சான்றிதழ்களைத் திருட, தாக்குபவர்கள் தீங்கிழைக்கும் தளங்களுக்கு பயனர்களை ஈர்க்கலாம். தாக்குபவர்கள் தீங்கிழைக்கும் இணைப்பை மாறுவேடமிட்டு, முந்தைய தளத்தில் உள்ளிடப்பட்ட நற்சான்றிதழ்களைத் திருட அதன் மீது கிளிக் செய்யும்படி பயனரை ஏமாற்றிவிடுவதால், பாதிப்பைப் பயன்படுத்துவது மிகவும் எளிமையானது என்று டேவிஸ் ஓர்மண்டி நம்புகிறார்.
LastPass பிரதிநிதிகள் இந்த சூழ்நிலையில் கருத்து தெரிவிக்கவில்லை. தற்போது, இந்த பாதிப்பை தாக்குபவர்கள் பயன்படுத்தியதாக அறியப்பட்ட வழக்குகள் எதுவும் இல்லை.
ஆதாரம்: 3dnews.ru