۴۰ میلیون کاربر برنامه‌های مدیریت پسورد در معرض خطر یک آسیب‌پذیری قرار دارند

آسیب‌پذیری خطرناکی که افزونه مرورگر نرم‌افزارهای مدیریت پسورد را تحت تأثیر قرار داده است، ظاهراً اطلاعات حدود ۴۰ میلیون کاربر را تهدید می‌کند.

کارشناسان حوزه IT و امنیت سایبری همواره توصیه می‌کنند برای ایمن نگه داشتن رمزهای عبور و متمرکزکردن آنها در یک مکان، از سرویس‌های مدیریت رمز عبور استفاده کنید. این ابزارها عموماً قابل‌اعتماد و امن در نظر گرفته می‌شوند، اما اکنون یک آسیب‌پذیری مرتبط با ۱۱ سرویس معروف کشف شده که هکرها می‌توانند از آن سوءاستفاده کنند.

آسیب‌پذیری امنیتی سرویس‌های مدیریت پسورد را تهدید می‌کند

این آسیب‌پذیری توسط محققان امنیتی The Hacker News کشف شده است. سرویس‌های مدیریت رمز عبوری که افزونه‌های مرورگر آنها بر پایه Document Object Model است، تحت‌تأثیر این مشکل قرار گرفته‌اند.

این آسیب‌پذیری از نوع Clickjacking است و در آن مهاجمان قربانی را به سایت‌های جعلی هدایت می‌کنند. این سایت‌ها در ظاهر شبیه سایت‌های واقعی هستند اما عناصر مخفی دارند. در این آسیب‌پذیری هکرها تلاش می‌کنند با یک کلیک اشتباه به اطلاعات پسورد منیجر قربانی دسترسی پیدا کنند. نکته اینجاست که قربانی نهایتاً صفحه سایت جعلی را می‌بندد و متوجه این نفوذ نمی‌شود.

اما چرا نرم‌افزارهای مدیریت پسورد چنین ریسکی ایجاد می‌کنند؟ مشکل ظاهراً به DOM برمی‌گردد که با یک آسیب‌پذیری اجازه چنین حملاتی را می‌دهد.

سرویس‌های تحت تأثیر این آسیب‌پذیری عبارت‌اند از:

• 1Password
• Bitwarden
• Dashlane
• Enpass
• iCloud Passwords
• Keeper
• LastPass
• LogMeOnce
• NordPass
• ProtonPass
• RoboForm

این فهرست شامل برخی از شناخته‌شده‌ترین و پرکاربردترین سرویس‌های مدیریت رمز عبور است. تخمین زده می‌شود حدود ۴۰ میلیون کاربر در سراسر جهان تحت‌تأثیر این موضوع قرار گرفته باشند؛ بنابراین توصیه می‌شود با نهایت احتیاط با این سرویس‌ها کار کنید.

این نقص امنیتی ظاهراً هنوز توسط بیشتر این سرویس‌ها رفع نشده است، یعنی خطر سرقت داده‌ها همچنان وجود دارد. بااین‌حال، بعضی سرویس‌ها نظیر Bitwarden این مشکل را برطرف کرده‌اند.

کاربران برای محافظت از خود در برابر هکرها چند روش دارند. اول اینکه هرگز روی لینک‌های ناشناس یا غیرمنتظره کلیک نکنند، حتی اگر به وب‌سایت‌هایی به‌ظاهر معتبر هدایت شوند. امن‌ترین روش این است که یک تب جدید در مرورگر باز کرده و مستقیماً به سایت موردنظر بروند یا از بوکمارک‌های مورداعتماد خود برای دسترسی سریع استفاده کنند.

همچنین اگر از مرورگری مبتنی بر کرومیوم استفاده می‌کنند و از مدیر رمز عبور بهره می‌برند، توصیه می‌شود تنظیمات پر کردن خودکار رمز عبور را روی حالت «با کلیک» (on-click) قرار دهند. این اقدام مهم است چون از وارد شدن یا تکمیل خودکار رمزها بدون تأیید شما جلوگیری می‌کند.

علاوه‌براین، می‌توانید پرکردن خودکار آدرس ایمیل و سایر داده‌ها را در تنظیمات مرورگر در بخش Autofill and passwords غیرفعال کنید.