Overslaan en naar de inhoud gaan

Weer lek in LastPass wachtwoordmanager

In het weekend had Tavis Ormandy, lid van Google's team Project Zero, naar eigen zeggen een 'epiphany' (een openbaring, een verschijning) en ontdekte hoe hij de codeexec in LastPass 4.1.43 kon krijgen.

Ormandy moet als een gesel gezien worden door het ontwikkelteam van LastPass. In de afgelopen week meldde hij verschillende lekken in de wachtwoordmanager. Elke softwarefout die kwaadwillenden toegang geeft tot informatie die niet voor vreemde ogen bestemd is, is er een te veel. Maar fouten in wachtwoordmanagers zijn helemaal pijnlijk omdat in een keer alle wachtwoorden van gebruikers op straat kunnen komen te liggen.

Ormandy kreeg zijn eureka-moment 's ochtends onder de douche, twitterde hij vrolijk. Nog voor hij zich goed en wel had aangekleed, had hij al een volledig rapport en een exploit van de fout naar het LastPass-team verstuurd, meldde hij in een tweede tweet. Die was overigens van half 9 's avonds. Het LastPass-team heeft het bestaan van de bug inmiddels bevestigd en zegt te werken aan een oplossing van het probleem.

Kritiek op 'responsible disclosure'

Ormandy had afgelopen week nogal wat kritiek gekregen op zijn Tweets over de bugs in LastPass. Het team claimt dat LastPass de veiligste wachtwoordmanager verkrijgbaar is, maar de tweets van Ormandy lijken die claim te ondermijnen.

Niks van waar, zegt Ormandy. Zo lang er niet precies wordt aangegeven wat er mis is, geeft het mechanisme van 'responsible disclosure' juist transparantie. Google hanteert een 90-dagen regel, waarbij het bedrijf garandeert dat er in die periode geen details over de softwarefout worden vrijgegeven. Die deadline is een stok achter de deur voor de softwaremakers om de fout snel te repareren.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in