Специалист компании Salesforce Мартин Виго нашёл в сервиса хранения паролей LastPass уязвимость, благодаря которой пропадает двухфакторная аутентификация, и хакеру требуется лишь ввести скомпрометированный ранее пароль.


Проблема в том, что LastPass хранит данные для двухфакторной аутентификации по локальному URL-адресу, который является производным от пароля пользователя. Хакер, знающий пароль, может сгенерировать URL и получить QR-код, необходимый для доступа к засекреченным данным. Виго отмечает, что злоумышленнику не требовался физический доступ к устройству жертвы, атаку на аккаунт LastPass можно было осуществить удалённо с помощью уязвимостей в браузерах.

Разработчики LastPass были поставлены в известность о существовании этой проблемы в феврале 2017 года и подготовили временное решение уже на следующий день. Полноценный патч был выпущен 20 апреля, о чём сообщается в официальном блоге сервиса.