Bij wachtwoordenbeheerder LastPass zijn in korte tijd twee lekken ontdekt. Het ene lek heeft te maken met het automatisch invullen van wachtwoorden en is inmiddels door de ontwikkelaars gedicht. Het andere lek is echter nog niet gedicht, maar de ontwikkelaars van LastPass zijn al wel op de hoogte. Het nog aanwezige lek werd ontdekt door Google-ontwikkelaar Tavis Ormandy.
Update 28 juli: Beide beveiligingslekken zijn volgens LastPass inmiddels gedicht. Eén van de lekken trof alleen gebruikers van de Firefox-plugin. De nieuwste versie van deze plugin lost het probleem op.
LastPass-lek onderzocht door ontwikkelaars
In een tweet liet Tavis Ormandy weten dat hij naar de beveiliging van de wachtwoordenbeheerder LastPass zou kijken om eventuele lekken te ontdekken. Enkele uren later liet hij wederom via Twitter weten dat hij zijn bevindingen naar LastPass gestuurd heeft. De details van de kwetsbaarheden zijn echter niet bekend, maar mogelijk zorgde het lek ervoor dat wachtwoorden op afstand uitgelezen konden worden. Er zou nog geen misbruik gemaakt zijn van het desbetreffende lek. Ormandy zegt in dezelfde tweet dat hij ook gaat kijken hoe het met de beveiliging van 1Password zit, een andere populaire app om je wachtwoorden te bewaren.
Full report sent to LastPass, they're working on it now. Yes, it's a complete remote compromise. Yes, I promise I'll look at 1Password.
— Tavis Ormandy (@taviso) July 27, 2016
Het inmiddels gedichte lek werd ontdekt door Mathias Karlsson van Detectify. In een blogpost geeft hij aan dat er een probleem was met de browser-extensie van LastPass, waardoor hij wachtwoorden van gebruikers kon inzien. Door de AutoFill-functie van LastPass werden links op een verkeerde manier verwerkt. Dit kan vervolgens door websites gebruikt worden om de inloggegevens van een andere site te achterhalen. Deze kwetsbaarheid gold alleen voor mensen die de AutoFill-functie van LastPass ingeschakeld hadden.
Het is niet de eerste keer dat de beveiliging van LastPass ter sprake komt. Eerder bleek al dat LastPass gevoelig was voor phishing, waardoor jouw inloggegevens gestolen konden worden. LastPass reageerde zelf pas laat op dit probleem, maar wist dit uiteindelijk toch op te lossen.
- 2016 - 28 juli: De beveiligingslekken zijn volgens LastPass inmiddels gedicht.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Het laatste nieuws over Apple van iCulture
- Spotify brengt AutoMix-achtige tool uit om je playlists DJ-achtige overgangen te geven (20-08)
- WhatsApp krijgt AI-schrijfhulp: dit is wat je er aan hebt (19-08)
- Grote update voor Netflix op Apple TV nu beschikbaar: nieuw design, betere aanbevelingen en meer (13-08)
- TomTom alweer met nieuwe navigatie-app: wat is het verschil met de vorige? (12-08)
- HBO Max maakt accounts delen binnenkort moeilijker – tenzij je betaalt (08-08)
Tsja, heb het al ’s eerder gezegd: een ketting is zo sterk als de zwakste schakel en hoe meer schakels des te groter de kans dat één daarvan zwak is …
Hoop dat dit meer mensen aan het denken zet over de (on)misbaarheid van deze ‘schakel’ in je apparaat- en online-beveiliging, een password-app, nu het middel weer erger blijkt dan de kwaal 🤔