Program na správu hesel LastPass nabízí pohodlný způsob, jak mít pro každou stránku jiné silné heslo (což je důležité pro bezpečnost na webu). Mladý bezpečnostní výzkumník Mathias Karlsson ale našel relativně jednoduchý způsob, jak ochranu LastPass obejít.
Využil toho, že rozšíření pro prohlížeč špatně analyzovalo URL adresu stránky a jako doménu rozpoznalo i jinou část adresy, pokud byla oddělena zavináčem. Adresou http://avlidienbrunn.se/@twitter.com/@hehe.php tak přinutil rozšíření, aby vyplnilo jméno a heslo pro doménu twitter.com. Pokud by uživatel měl zapnuté automatické vyplňování, mohl by provozovatel takové stránky získat jeho heslo k libovolné doméně.
LastPass chybu během jednoho dne od upozornění opravil a Karlssona odměnil tisícem dolarů za nahlášení. Teprve pak Karlsson o chybě napsal článek. I když je chyba opravená, nabádá Karlsson k obezřetnosti: „Měli bychom přestat používat správce hesel? Ne. Jsou pořád mnohem lepší, než opakovat stejná hesla. Ale je asi dobrý nápad vypnout si automatické vyplňování jména a hesla, protože tohle není první ani poslední chyba tohoto druhu,“ dodává.
Další vhodnou ochranou je zapnutí dvojitého zabezpečení, a to jak u LastPass, tak u důležitých služeb (e-mail, sociální síť, bankovnictví).
