De digitale wachtwoordkluis LastPass heeft maatregelen genomen tegen een phishingaanval die afgelopen weekend tijdens een beveiligingsconferentie werd gedemonstreerd. Via de LostPass-phishingaanval liet onderzoeker Sean Cassidy zien hoe een aanvaller het e-mailadres, wachtwoord en zelfs twee-factor authenticatiecode van gebruikers kan stelen, om vervolgens toegang tot wachtwoorden en documenten in de kluis te krijgen.

Het probleem wordt volgens Cassidy veroorzaakt doordat LastPass meldingen in de browser laat zien, die door een phishingsite kunnen worden nagebootst. Ook is het voor een phishingsite mogelijk om de gebruiker uit LastPass uit te loggen. Op deze manier kan een gebruiker naar een phishingsite worden gelokt waar hij zijn gegevens invult, die vervolgens naar de aanvaller worden gestuurd. Volgens LastPass gaat het hier niet om een kwetsbaarheid in de wachtwoordmanager zelf. Toch hebben de ontwikkelaars verschillende maatregelen genomen om de nu gedemonstreerde aanval te voorkomen.

Zo is het niet meer mogelijk voor een kwaadaardige pagina om de LastPass-gebruiker uit te loggen. Ook toont LastPass een waarschuwing als het hoofdwachtwoord op een pagina wordt ingevoerd die niet van LastPass is. Het hoofdwachtwoord is nodig om toegang tot de wachtwoorden in de kluis te krijgen. Cassidy liet echter zien dat de waarschuwing kan worden onderdrukt. Daarom is er nu eerst verificatie nodig voordat er vanaf een onbekende locatie of apparaat op het LastPass-account kan worden ingelogd.

Zolang de e-mailverificatie niet is bevestigd, kan een aanvaller niet op het LastPass-account inloggen, ook al heeft hij de gegevens succesvol weten te bemachtigen. Ook waarschuwt LastPass nu als het hoofdwachtwoord als wachtwoord voor andere websites wordt gebruikt. Als laatste zullen de ontwikkelaars maatregelen nemen om de waarschuwingen van LastPass binnen de browser op een andere manier weer te geven, die lastiger voor aanvallers te vervalsen zou moeten zijn.