Image by Volodymyr Kondriianenko, from Unsplash
Managerii de parole expun date într-un nou atac de tip Clickjacking
Timp de citire: 2 min
Ultima actualizare: Aug 21, 2025
-
![Kiara Fabbri]()
-
![Echipa de traducere și localizare]()
Tradus de Echipa de traducere și localizare Servicii de traducere și localizare
Un nou studiu avertizează că milioane de utilizatori ai managerilor de parole ar putea fi vulnerabili la un exploit periculos de browser numit „Clickjacking pe bază de DOM”.
Te grăbești? Iată faptele esențiale:
- Atacatorii pot păcăli utilizatorii să completeze automat datele cu un singur clic fals.
- Datele scurse includ carduri de credit, credențiale de autentificare și chiar coduri de autentificare în doi pași.
- 32,7 milioane de utilizatori rămân expuși deoarece unii furnizori nu au corectat defecțiunile.
Cercetătoarea din spatele descoperirilor a explicat: „Clickjacking-ul este încă o amenințare la securitate, dar este necesar să trecem de la aplicațiile web la extensiile de browser, care sunt mai populare în prezent (manageri de parole, portofele cripto și altele).”
Atacul funcționează prin înșelarea utilizatorilor să dea clic pe elemente false, inclusiv bannere de cookie-uri și pop-up-uri captcha, în timp ce un script invizibil activează în secret funcția de completare automată a managerului de parole. Cercetătorii explică faptul că atacatorilor le-a fost suficient un singur clic pentru a fura informații sensibile.
„Un singur clic oriunde pe un site web controlat de atacator ar putea permite atacatorilor să fure datele utilizatorilor (detalii ale cardului de credit, date personale, date de autentificare, inclusiv TOTP)”, se menționează în raport.
Cercetătoarea a testat 11 manageri de parole populare, inclusiv 1Password, Bitwarden, Dashlane, Keeper, LastPass și iCloud Passwords. Rezultatele au fost alarmante: „Toți erau vulnerabili la ‘Clickjacking bazat pe DOM’. Zeci de milioane de utilizatori ar putea fi în pericol (aproximativ 40 de milioane de instalări active).”
Testele au relevat că șase dintre cei nouă manageri de parole au expus detalii despre cardurile de credit, în timp ce opt manageri din zece au scurs informații personale. În plus, zece dintre cei unsprezece au permis atacatorilor să fure acreditările de autentificare stocate. În unele cazuri, chiar și codurile de autentificare în doi pași și cheile de acces ar fi putut fi compromise.
Deși furnizorii au fost alertați în aprilie 2025, cercetătorii notează că unii dintre ei, cum ar fi Bitwarden, 1Password, iCloud Passwords, Enpass, LastPass și LogMeOnce, încă nu au remediat defecțiunile. Aceasta este deosebit de îngrijorător, deoarece lasă un număr estimat de 32,7 milioane de utilizatori expuși acestui atac.
Cercetătorii au concluzionat: „Tehnica descrisă este generală și am testat-o doar pe 11 manageri de parole. Alte extensii care manipulează DOM-ul sunt probabil vulnerabile (manageri de parole, portofele cripto, note etc.).”
Știrea anterioară
Ultimele articole 
