En popüler parola yöneticilerinden biri olan LastPass geçtiğimiz günlerde iki ciddi güvenlik zafiyeti ile karşı karşıya kaldı. Mathias Karlsson isimli güvenlik araştırmacısının ve Google çalışanı Tavis Ormandy tarafından bulunan zafiyetler, saklanan kullanıcı adı ve parolaların çalınabilmesine sebep olabiliyor.
Karlsson’un yaptığı araştırmaya göre, uygulamanın “Otomatik Doldurma” kısmında bulunan zafiyet, alan adını belirlemek için URL’in çözümlendiği kod parçasından kaynaklanmakta. Tarayıcılar http://avlidienbrunn.se/@twitter.com/@hehe.php URL’inin ait olduğu alan adını avlidienbrunn.se olarak algılarken, uygulamanın eklentisi alan adını twitter.com olarak algılıyor, bu sebeple düzenli bir şekilde URL içine enjekte edilen ifade ile saldırgan kişi hedef alan adını kullanarak kurbanı dolandırabiliyor.
Tavis Ormandy’nin bulduğu zafiyette ise uygulamanın Firefox eklentisinde kullanıcıların haberi olmadan dosya silmek, düzenlemek veya oluşturmak gibi aksiyonlar alabilmenin mümkün olduğu görülmekte. Ormandy’nin yaptığı araştırmanın detaylarına ise buradan ulaşabilirsiniz.
Her ne kadar bulunan zafiyetler ciddi olsa da, parola yöneticileri kullanmak, alternatiflere göre(aynı parolanın tekrar kullanılması, basit parolaların kullanılması) hala oldukça güvenli görünüyor. Ancak yapılan araştırmalarda da görüldüğü üzere güvenli kalabilmek için parola yöneticilerinin yanında çok faktörlü kimlik doğrulama gibi ekstra güvenlik önlemlerini de benimseyip, uygulamak oldukça önem arz ediyor.