میلیون‌ها کاربر LastPass، 1Password و Bitwarden در معرض سرقت داده

در جریان کنفرانس DEF CON 33، پژوهشگر امنیتی «مارک توث» اعلام کرد که شش مدیر رمز عبور شناخته‌شده شامل 1Password، Bitwarden، Enpass، iCloud Passwords، LastPass و LogMeOnce دارای آسیب‌پذیری‌های جدی در برابر حملات کلیک‌جکینگ هستند.

به گزارش دیتاسنتر من و نقل از تک‌اسپات، این نقص‌ها حتی در آخرین نسخه‌های منتشرشده تا تاریخ ۱۹ اوت ۲۰۲۵ نیز وجود داشته‌اند و می‌توانند به مهاجمان امکان دهند اطلاعاتی مانند نام کاربری، رمز عبور، کدهای احراز هویت و داده‌های مالی کاربران را سرقت کنند.

کلیک‌جکینگ روشی است که در آن مهاجم با قرار دادن لایه‌های نامرئی روی محتوای واقعی یک وب‌سایت، کاربر را فریب می‌دهد تا روی عناصر پنهان کلیک کند. توث این تکنیک را توسعه داده تا افزونه‌های مرورگر مدیران رمز عبور را هدف بگیرد؛ جایی که کاربران بیش از پیش برای مدیریت هویت دیجیتال خود به آن‌ها وابسته هستند.

بر اساس آزمایش‌ها، تمامی ۱۱ مدیر رمز عبور بررسی‌شده دست‌کم یک نوع آسیب‌پذیری در برابر این حملات داشته‌اند. شرکت امنیتی Socket نیز یافته‌ها را تأیید کرده و در حال همکاری با فروشندگان برای ثبت شناسه‌های CVE مربوطه است.

نسخه‌های آسیب‌پذیر شامل 1Password (نسخه 8.11.4.27)، Bitwarden (نسخه 2025.7.0 که پس از افشا در نسخه 2025.8.0 اصلاح شد)، Enpass (نسخه 6.11.6)، iCloud Passwords (نسخه 3.1.25)، LastPass (نسخه 4.146.3) و LogMeOnce (نسخه 7.12.4) هستند. مجموعاً این شش پلتفرم حدود ۴۰ میلیون کاربر دارند. در مقابل، برخی رقبا مانند Dashlane، NordPass، Proton Pass، RoboForm و Keeper با سرعت بیشتری وصله‌های امنیتی ارائه کردند.

 

واکنش شرکت‌ها متفاوت بوده است؛ Bitwarden سریعاً نقص‌ها را رفع کرد، اما 1Password و LastPass ابتدا این مشکلات را «اطلاعاتی» دانستند و خارج از محدوده اصلاح فوری ارزیابی کردند. LastPass بعداً اعلام کرد در حال کار روی به‌روزرسانی است و بر وجود مکانیزم‌های ایمنی مانند تأیید قبل از پرکردن خودکار داده‌ها تأکید کرد. LogMeOnce نیز پاسخی به گزارش‌ها نداد.

این حملات از طریق دستکاری ویژگی‌های CSS مانند opacity و z-index عمل می‌کنند؛ به‌طوری‌که رابط کاربری مدیر رمز عبور نامرئی یا با عناصر جعلی پوشانده می‌شود. کاربر تصور می‌کند روی بنری بی‌خطر یا کپچا کلیک کرده، در حالی که اطلاعات او بدون آگاهی در فرم واقعی پر می‌شود.

پژوهشگر همچنین اسکریپتی عمومی طراحی کرده که می‌تواند نوع مدیر رمز عبور فعال را شناسایی و حمله را متناسب با آن تطبیق دهد. او در دموهای زنده موفق شد سناریوهایی از سرقت اطلاعات ورود و کارت‌های اعتباری را نشان دهد.

کارشناسان تا زمان ارائه وصله‌های قطعی توصیه می‌کنند کاربران قابلیت پرکردن خودکار را غیرفعال کرده و برای ورود به حساب‌ها از روش «کپی-پیست» استفاده کنند و در تعامل با پنجره‌های مشکوک آنلاین بیشتر احتیاط نمایند.