LastPass Freemium

‘Wachtwoordenbeheerder LastPass bevat twee beveiligingslekken’

Gebruikers van LastPass opgelet: de wachtwoordenbeheerder zou last hebben van twee lekken, waardoor wachtwoorden van gebruikers te achterhalen zijn. Eén van de lekken is inmiddels gedicht.
Benjamin Kuijten - · Laatst bijgewerkt:

LastPass Freemium
Bij wachtwoordenbeheerder LastPass zijn in korte tijd twee lekken ontdekt. Het ene lek heeft te maken met het automatisch invullen van wachtwoorden en is inmiddels door de ontwikkelaars gedicht. Het andere lek is echter nog niet gedicht, maar de ontwikkelaars van LastPass zijn al wel op de hoogte. Het nog aanwezige lek werd ontdekt door Google-ontwikkelaar Tavis Ormandy.

Update 28 juli: Beide beveiligingslekken zijn volgens LastPass inmiddels gedicht. Eén van de lekken trof alleen gebruikers van de Firefox-plugin. De nieuwste versie van deze plugin lost het probleem op.

LastPass-lek onderzocht door ontwikkelaars

In een tweet liet Tavis Ormandy weten dat hij naar de beveiliging van de wachtwoordenbeheerder LastPass zou kijken om eventuele lekken te ontdekken. Enkele uren later liet hij wederom via Twitter weten dat hij zijn bevindingen naar LastPass gestuurd heeft. De details van de kwetsbaarheden zijn echter niet bekend, maar mogelijk zorgde het lek ervoor dat wachtwoorden op afstand uitgelezen konden worden. Er zou nog geen misbruik gemaakt zijn van het desbetreffende lek. Ormandy zegt in dezelfde tweet dat hij ook gaat kijken hoe het met de beveiliging van 1Password zit, een andere populaire app om je wachtwoorden te bewaren.

Het inmiddels gedichte lek werd ontdekt door Mathias Karlsson van Detectify. In een blogpost geeft hij aan dat er een probleem was met de browser-extensie van LastPass, waardoor hij wachtwoorden van gebruikers kon inzien. Door de AutoFill-functie van LastPass werden links op een verkeerde manier verwerkt. Dit kan vervolgens door websites gebruikt worden om de inloggegevens van een andere site te achterhalen. Deze kwetsbaarheid gold alleen voor mensen die de AutoFill-functie van LastPass ingeschakeld hadden.

Het is niet de eerste keer dat de beveiliging van LastPass ter sprake komt. Eerder bleek al dat LastPass gevoelig was voor phishing, waardoor jouw inloggegevens gestolen konden worden. LastPass reageerde zelf pas laat op dit probleem, maar wist dit uiteindelijk toch op te lossen.

Revisiegeschiedenis:

  • 2016 - 28 juli: De beveiligingslekken zijn volgens LastPass inmiddels gedicht.

Suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

Informatie

Laatst bijgewerkt 28 juli 2016, 9:31
Categorie Apps
Onderwerp lastpass

Reacties zijn gesloten voor dit artikel.