Overslaan en naar de inhoud gaan

LastPass-fout lekte inloggegevens vorige website

De wachtwoordmanager LastPass bevatte een kwetsbaarheid waardoor inloggegevens gelekt werden. Het ging specifiek om inloggegevens die ingevuld waren op de vorige website die bezocht werd. Het lek is inmiddels gedicht.
© Pixabay
Pixabay

De fout werd vorige maand al ontdekt door beveiligingsonderzoeker Tavis Ormandy van Google's Project Zero. Ormandy publiceerde zondag details over de fout, waarin ook uitgelegd wordt hoe deze te reproduceren is, schrijft ZDNet

Om misbruik te maken van het lek, hoeft alleen malafide JavaScript-code uitgevoerd te worden. Er is geen interactie van de gebruiker nodig. Om die reden wordt de fout als gevaarlijk gezien en is deze mogelijk te misbruiken. Aanvallers kunnen gebruikers bijvoorbeeld naar malafide pagina's lokken en de kwetsbaarheid misbruiken om de inloggegevens te stelen die de gebruiker op eerdere websites heeft ingevoerd. 

Dat is volgens Ormandy vrij simpel. Een aanvaller kan een malafide link namelijk eenvoudig verstoppen achter een Google Translate-URL en gebruikers misleiden om de link te bezoeken. "Ik denk dat we dit een ernstige kwetsbaarheid moeten noemen, zelfs als het niet voor alle URL's werkt", aldus Ormandy. 

Is wachtwoordmanager nog wel veilig?

De fout trof de browserextensies van LastPass voor Chrome en Opera. Het probleem wordt opgelost in versie 4.33.0 van de extensies, die op 12 september uitgebracht werd. De wachtwoordmanager raadt gebruikers dan ook met klem aan om de extensies te updaten, mocht dit niet automatisch gedaan worden. 

Dat er een fout is gevonden in LastPass, betekent overigens niet dat de software niet veilig is. Vrijwel iedere soort software bevat fouten, die uiteindelijk opgelost worden (mits gevonden). Gebruikers wordt dan ook aangeraden om nog steeds een wachtwoordmanager te gebruiken wanneer dat kan. Dit is namelijk veiliger dan wanneer ze in de browser opgeslagen zijn, waar ze eenvoudig uit gehaald kunnen worden met diverse tools en malware. 

Het is overigens niet de eerste keer dat Tavis Ormandy een fout vindt in LastPass. Dit bleek ook het geval in 2017, toen hij meerdere lekken in de wachtwoordmanager meldde. Die problemen zijn inmiddels verholpen. 

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in