Cụ thể, các nhà nghiên cứu đã phát hiện tổng cộng 7 loại lỗ hổng trong Passwordstate, bao gồm các vấn đề liên quan đến xác thực và bỏ qua cấp quyền, bảo vệ mật khẩu không đúng cách, thông tin xác thực bị mã hóa cứng và lỗ hổng XSS.
Trong đó, lỗ hổng bỏ qua xác thực API có mã là CVE-2022-3875, được đánh giá mức độ nghiêm trọng. Lỗ hổng cho phép kẻ tấn công bỏ qua xác thực cho API Passwordstate, truy cập vào mật khẩu trang web, OTP, danh sách mật khẩu và các bí mật khác của người dùng, chỉ cần biết username của họ.
Các lỗ hổng còn lại được xếp mức độ "trung bình" hoặc "thấp", nhưng vẫn có thể gây rủi ro đáng kể khi kết hợp với các lỗ hổng khác.
Người dùng được khuyến cáo nên cập nhật lên phiên bản Passwordstate 9.6 – Build 9653 phát hành vào ngày 7/11/2022 hoặc các phiên bản mới hơn để giảm thiểu các mối đe dọa tiềm ẩn.
Passwordstate, được phát triển bởi một công ty Úc có tên là Click Studios, có hơn 29 nghìn khách hàng và 370 nghìn chuyên gia CNTT sử dụng.
Đây không phải lần đầu tiên ứng dụng Passwordstate bị tin tặc nhắm mục tiêu. Vào tháng 4/2021, công ty đã kêu gọi người dùng đặt lại tất cả mật khẩu sau khi một bản cập nhật bị nhiễm mã độc trong cuộc tấn công chuỗi cung ứng./.