Image by Volodymyr Kondriianenko, from Unsplash
Menedżery haseł ujawniają dane w nowym ataku typu Clickjacking
Przeczytasz w: 2 min
Ostatnia aktualizacja: Aug 21, 2025
-
![Kiara Fabbri]()
-
![Zespół ds. lokalizacji i tłumaczenia]()
Tłumaczenie Zespół ds. lokalizacji i tłumaczenia Usługi związane z tłumaczeniem i lokalizacją treści
Nowe badanie ostrzega, że miliony użytkowników menedżerów haseł mogą być narażeni na niebezpieczny exploit przeglądarki zwany „DOM-based Extension Clickjacking”.
W pośpiechu? Oto najważniejsze fakty:
- Napastnicy mogą oszukać użytkowników do automatycznego wypełniania danych jednym fałszywym kliknięciem.
- Wśród przecieków znalazły się karty kredytowe, dane do logowania, a nawet kody dwuetapowej weryfikacji.
- 32,7 miliona użytkowników nadal jest narażonych, ponieważ niektórzy dostawcy nie naprawili błędów.
Badaczka, która stoi za tymi wynikami, wyjaśniła: „Clickjacking nadal stanowi zagrożenie dla bezpieczeństwa, ale konieczne jest zmienienie perspektywy z aplikacji internetowych na rozszerzenia przeglądarki, które cieszą się obecnie większą popularnością (menadżery haseł, portfele kryptowalut i inne).”
Atak polega na wprowadzaniu użytkowników w błąd poprzez klikanie na fałszywe elementy, takie jak banery cookie czy wyskakujące okienka captcha, podczas gdy niewidoczny skrypt tajnie aktywuje funkcję autouzupełniania menedżera haseł. Badacze wyjaśniają, że napastnikom wystarczył jeden kliknięcie, aby ukraść wrażliwe informacje.
„Jedno kliknięcie gdziekolwiek na stronie kontrolowanej przez atakującego mogło pozwolić napastnikom na kradzież danych użytkowników (szczegóły karty kredytowej, dane osobowe, dane logowania, w tym TOTP)”, – mówi raport.
Badaczka przetestowała 11 popularnych menedżerów haseł, w tym 1Password, Bitwarden, Dashlane, Keeper, LastPass i iCloud Passwords. Wyniki były alarmujące: „Wszystkie były podatne na ‚DOM-based Extension Clickjacking’. Dziesiątki milionów użytkowników mogły być zagrożone (około 40 milionów aktywnych instalacji).”
Testy ujawniły, że sześć z dziewięciu menedżerów haseł ujawniło dane kredytowe, natomiast osiem z dziesięciu menedżerów wyciekło informacje osobiste. Co więcej, dziesięć z jedenastu pozwoliło atakującym na kradzież przechowywanych danych logowania. W niektórych przypadkach mogły być również zagrożone kody dwuetapowego uwierzytelniania i klucze dostępu.
Chociaż dostawcy zostali powiadomieni w kwietniu 2025 roku, badacze zauważają, że niektórzy z nich, tacy jak Bitwarden, 1Password, iCloud Passwords, Enpass, LastPass i LogMeOnce, jeszcze nie naprawili tych błędów. Jest to szczególnie niepokojące, ponieważ szacuje się, że 32,7 miliona użytkowników jest narażonych na ten atak.
Badacze doszli do wniosku: „Opisana technika jest ogólna i przetestowałam ją tylko na 11 menedżerach haseł. Prawdopodobnie są podatne na to inne rozszerzenia manipulujące DOM (menedżery haseł, portfele kryptograficzne, notatki itp.).”
Poprzedni artykuł
Najnowsze artykuły 
