‘Wachtwoordenbeheerder LastPass bevat twee beveiligingslekken’

Gebruikers van LastPass opgelet: de wachtwoordenbeheerder zou last hebben van twee lekken, waardoor wachtwoorden van gebruikers te achterhalen zijn. Eén van de lekken is inmiddels gedicht.
Benjamin Kuijten | iCulture.nl - · Laatst bijgewerkt:

LastPass Freemium
Bij wachtwoordenbeheerder LastPass zijn in korte tijd twee lekken ontdekt. Het ene lek heeft te maken met het automatisch invullen van wachtwoorden en is inmiddels door de ontwikkelaars gedicht. Het andere lek is echter nog niet gedicht, maar de ontwikkelaars van LastPass zijn al wel op de hoogte. Het nog aanwezige lek werd ontdekt door Google-ontwikkelaar Tavis Ormandy.

Update 28 juli: Beide beveiligingslekken zijn volgens LastPass inmiddels gedicht. Eén van de lekken trof alleen gebruikers van de Firefox-plugin. De nieuwste versie van deze plugin lost het probleem op.

LastPass-lek onderzocht door ontwikkelaars

In een tweet liet Tavis Ormandy weten dat hij naar de beveiliging van de wachtwoordenbeheerder LastPass zou kijken om eventuele lekken te ontdekken. Enkele uren later liet hij wederom via Twitter weten dat hij zijn bevindingen naar LastPass gestuurd heeft. De details van de kwetsbaarheden zijn echter niet bekend, maar mogelijk zorgde het lek ervoor dat wachtwoorden op afstand uitgelezen konden worden. Er zou nog geen misbruik gemaakt zijn van het desbetreffende lek. Ormandy zegt in dezelfde tweet dat hij ook gaat kijken hoe het met de beveiliging van 1Password zit, een andere populaire app om je wachtwoorden te bewaren.

Klik om inhoud van Twitter te tonen.
Learn more in Twitter’s privacy policy.

Het inmiddels gedichte lek werd ontdekt door Mathias Karlsson van Detectify. In een blogpost geeft hij aan dat er een probleem was met de browser-extensie van LastPass, waardoor hij wachtwoorden van gebruikers kon inzien. Door de AutoFill-functie van LastPass werden links op een verkeerde manier verwerkt. Dit kan vervolgens door websites gebruikt worden om de inloggegevens van een andere site te achterhalen. Deze kwetsbaarheid gold alleen voor mensen die de AutoFill-functie van LastPass ingeschakeld hadden.

Bekijk ook

De beste wachtwoordenapps voor iPhone en iPad

Voor elke dienst een ander wachtwoord aanmaken is verstandig, maar deze allemaal onthouden is een heel karwei. Met deze wachtwoordapps voor iPhone en iPad kun je al je wachtwoorden veilig opslaan.

Het is niet de eerste keer dat de beveiliging van LastPass ter sprake komt. Eerder bleek al dat LastPass gevoelig was voor phishing, waardoor jouw inloggegevens gestolen konden worden. LastPass reageerde zelf pas laat op dit probleem, maar wist dit uiteindelijk toch op te lossen.

Bekijk ook

Wachtwoordbeheerder LastPass gevoelig voor phishing

De wachtwoordenapp LastPass is gevoelig voor phishing in de (desktop)browser. Meldingen kunnen gemakkelijk worden onderschept, om je gegevens te stelen.

Revisiegeschiedenis:

  • 2016 - 28 juli: De beveiligingslekken zijn volgens LastPass inmiddels gedicht.

Informatie

Laatst bijgewerkt
28 juli 2016 om 9:31
Onderwerp
Categorie
Apps

Reacties: 1 reacties

Reacties zijn gesloten voor dit artikel.