Ein IT-Forscher deckte bei der Defcon 33 eine schwerwiegende Sicherheitslücke in Browser-Erweiterungen führender Passwort-Manager (darunter 1Password, Bitwarden, Dashlane, Enpass, iCloud Passwords, Keeper, LastPass, LogMeOnce, NordPass, ProtonPass und RoboForm) auf: Durch einen DOM-basierten Clickjacking-Angriff können Angreifer über trickreiche, unsichtbare Formularmasken wie Cookie-Banner oder Captchas die Autofill-Funktion ausnutzen. Nutzer klicken unwissentlich auf die Browser-Erweiterung – und Angreifer gelangen so an persönliche Daten wie Passwörter, Kreditkarteninfos oder Adressdaten.