塔維斯·奧爾曼迪(Tavis Ormandy)是恐怖。這位年輕的英國IT安全研究人員目前正在Google的零安全團隊工作。她由非常高級的專家組成,將目光投向了在線節目或服務,並仔細檢查了他們的安全性。
最近,塔維斯·奧爾曼迪(Tavis Ormandy)研究了LastPass的案例,這是一位知名且受歡迎的在線密碼經理,為公眾和企業提供高級服務。
他發現了一個零一天的缺陷,根據定義未正式列出,因此未經糾正。這個錯誤顯然會損害用戶帳戶的安全性。對於用戶訪問“受感染”網站的情況就足夠了,該網站將在LastPass上揭示其所有信息,並可以輕鬆訪問存儲在此處的所有密碼。
人們真的在使用這種LastPass嗎?我快速看了一下,可以看到許多明顯的關鍵問題。我會盡快發送報告。
-Tavis Ormandy(@taviso)2016年7月26日
目前,曾在賽門鐵克(Symantec)或阿瓦斯特(Avast)上露出牙齒的安全專家尚未提供有關他的發現的許多細節。他在第一條推文中指定,他將迅速發布有關此缺陷的報告,並質疑人們可以認真使用LastPass的事實。
據他說,看來他只花了一個快速的看法才能找到相當明顯的關鍵問題。
一些交流,與Twittos說,他們是LastPass的前工程師,但並沒有安慰。其中一個人說,二進製文件被“忽略”,並且管理二進製文件和擴展之間的通信的方式是“令人恐懼的”。這不是很令人放心。
已發送到LastPass的完整報告,他們現在正在研究。是的,這是一個完整的遠程妥協。是的,我保證我會查看1Password。
-Tavis Ormandy(@taviso)2016年7月27日
尚不清楚塔維斯·奧曼迪(Tavis Ormandy)之前的海盜是否已經發現了這個零日間的故障,並且是否已經使用了。一件事是可以肯定的,尚未糾正,最後一個通道將不得不掌握。
在另一條推文中,零項目專家說,他向服務威脅要糾正問題的服務。
他還指定他注意的下一個目標將是另一個密碼經理1Password,因此將有權獲得免費的安全審核...
每天,成千上萬的密碼被盜……是您的出售嗎?https://t.co/72Pirayald
- LastPass(@lastpass)2016年7月18日
我們是否會感激最後一個固定在他的Twitter頁面頂部的事實,這是一條推文,要求任何“每天,成千上萬的密碼被盜……您要出售的讀者”?問題很好。現在可以回答它。
