Ernstig beveiligingslek in LastPass voor Firefox gedicht
De ontwikkelaars van de populaire wachtwoordmanager LastPass hebben een ernstig beveiligingslek in de Firefox-versie gedicht waardoor een aanvaller volledige controle over de browser-extensie kon krijgen om vervolgens wachtwoorden te stelen, bestanden te verwijderen en script uit te voeren.
Het bezoeken van een kwaadaardige of gehackte website was voldoende, er was geen verdere interactie vereist. Een update om het probleem te verhelpen is onder alle kwetsbare gebruikers uitgerold, aldus LastPass in een blogposting. De kwetsbaarheid werd door Google-onderzoeker Tavis Ormandy ontdekt, die vandaag de details van het beveiligingslek openbaar maakte. In eerste instantie dacht Ormandy dat het probleem alle LastPass-versies betrof, maar het bleek alleen in de Firefox-extensie aanwezig te zijn.
De kwetsbaarheid werd zeer snel door LastPass verholpen. Ormandy kreeg vervolgens een beloning aangeboden voor het melden van het beveiligingslek, maar wees die af. Hij heeft LastPass gevraagd om het geld aan Amnesty International te doneren. Wel hekelt de Google-onderzoeker de uitleg van LastPass over het probleem in de blogposting. Daarin stelt LastPass dat phishing is vereist voor het uitvoeren van de aanval. De aanval vereist echter geen phishing, aldus Ormandy. "Ik ga ervan uit dat de blogposting is geschreven door iemand die niet bekend is met de term phishing."
Het is onontbeerlijk bij een mobile device - onbetwistbaar - maar anders is het nergens voor nodig en mijn inziens veiliger al die inlog gegevens op een goed verstopte plaats in huis te bewaren.
Het is interessant om een gedegen vergelijking te vinden met welk soort inbraak je het meest rekening moet houden:
Op je netwerk/computer of inbraak/insluiping in je huis. Tot nu ben ik niets dat helderheid/inzicht verschaft tegengekomen. Hier is criteria voor nodig is. Maar welke? Hoe vergelijk je een SKG certificaat met een TLS certificaat? Het heeft volgens mij zelfs geen relevante raakvlakken die bruikbaar zijn om tot een rapportage te komen die zinnig is.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
