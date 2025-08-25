Attivo nel mondo dell’editoria sin dal 2011, giornalista dal 2019, ha lavorato per il web e per la carta stampata occupandosi di musica, cultura, lifestyle e tecnologia.

In Sintesi

Un ricercatore di sicurezza ha scoperto che le estensioni per browser di diversi password manager sono vulnerabili agli attacchi di clickjacking.

Questi attacchi possono indurre gli utenti a fare clic su elementi non voluti, mettendo a rischio le credenziali di accesso e i dati di pagamento salvati.

I password manager sono diventati ormai uno strumento fondamentale per la gestione sicura e semplificata delle credenziali di accesso e dei dati di pagamento e il loro funzionamento, che si estende su diverse piattaforme e dispositivi, garantisce che gli utenti possano avere i propri dati sempre a disposizione.

Tuttavia, l’efficacia di questi servizi dipende dalla robustezza e dalla sicurezza del software che ne gestisce il funzionamento e una singola vulnerabilità potrebbe compromettere la sicurezza dei dati sensibili, rendendo di fatto inutile questo strumento.

Quali sono le vulnerabilità dei password manager

Secondo una recente ricerca, alcuni dei password manager più utilizzati sul mercato sono esposti a vulnerabilità di clickjacking, rappresentando una minaccia concreta per milioni di utenti e per i loro dati personali.

Il clickjacking è una tipologia di attacco informatico che sfrutta tecniche di ingegneria sociale per indurre l’utente a cliccare su un elemento diverso da quello che appare sullo schermo, portandolo verso siti truffa, pronti a rubare dati sensibili o a installare malware di diversa natura sul dispositivo.

Secondo l’indagine condotta dal ricercatore indipendente Marek Toth il principale problema dei password manager sarebbe da associare ad alcune estensioni per browser legate ai gestori di password più diffusi, che sarebbero suscettibili a questo tipo di attacco.

Nello specifico, questi strumenti non bloccherebbero l’esecuzione di uno script su un sito web compromesso o dannoso, ingannando l’utente e mettendo a rischio le credenziali di accesso e i dati di pagamento archiviati al loro interno.

Come tenere al sicuro i propri dati personali

Secondo quanto riportato da BleepingComputer, la vulnerabilità individuata può essere sfruttata in vari modi. In particolare, è possibile utilizzare uno script che adatta l’attacco in tempo reale al tipo di password manager in uso tra quelli vulnerabili.

Naturalmente, Marke Toth ha tempestivamente informato le aziende produttrici dei password manager analizzati (la segnalazione è stata inviata ad aprile), che hanno avuto tutto il tempo di correggere il problema prima della pubblicazione dei risultati del report.

A oggi, secondo i dati a disposizione, alcuni dei password manager testati dal ricercatore, restano ancora a rischio, lasciando potenzialmente esposti i dati personali di circa 40 milioni di utenti in tutto il mondo. Cifre davvero importanti che, potenzialmente, potrebbero finire nel mirino degli hacker in un attacco su larga scala, con la relativa compromissione di decine e decine di account.

Tra i prodotti a rischio troviamo:

1Password

Bitwarden

Enpass

iCloud Passwords

LastPass

LogMeOnce

Stando sempre a quello che si legge su BleepingComputer, alcune aziende come LastPass e LogMeOnce, sono già al lavoro per implementare le correzioni necessarie a risolvere il problema, mentre degli altri nomi presenti nella lista ancora non si sa nulla.