image

Ernstig beveiligingslek in LastPass voor Firefox gedicht

donderdag 28 juli 2016, 09:58 door Redactie, 3 reacties

De ontwikkelaars van de populaire wachtwoordmanager LastPass hebben een ernstig beveiligingslek in de Firefox-versie gedicht waardoor een aanvaller volledige controle over de browser-extensie kon krijgen om vervolgens wachtwoorden te stelen, bestanden te verwijderen en script uit te voeren.

Het bezoeken van een kwaadaardige of gehackte website was voldoende, er was geen verdere interactie vereist. Een update om het probleem te verhelpen is onder alle kwetsbare gebruikers uitgerold, aldus LastPass in een blogposting. De kwetsbaarheid werd door Google-onderzoeker Tavis Ormandy ontdekt, die vandaag de details van het beveiligingslek openbaar maakte. In eerste instantie dacht Ormandy dat het probleem alle LastPass-versies betrof, maar het bleek alleen in de Firefox-extensie aanwezig te zijn.

De kwetsbaarheid werd zeer snel door LastPass verholpen. Ormandy kreeg vervolgens een beloning aangeboden voor het melden van het beveiligingslek, maar wees die af. Hij heeft LastPass gevraagd om het geld aan Amnesty International te doneren. Wel hekelt de Google-onderzoeker de uitleg van LastPass over het probleem in de blogposting. Daarin stelt LastPass dat phishing is vereist voor het uitvoeren van de aanval. De aanval vereist echter geen phishing, aldus Ormandy. "Ik ga ervan uit dat de blogposting is geschreven door iemand die niet bekend is met de term phishing."

Reacties (3)
28-07-2016, 10:51 door [Account Verwijderd]
Als je uitsluitend met een vast werkstation zaken afhandelt waar inlog en wachtwoord voor nodig is kun je de vraag stellen of je wel een password manager nodig hebt.
Het is onontbeerlijk bij een mobile device - onbetwistbaar - maar anders is het nergens voor nodig en mijn inziens veiliger al die inlog gegevens op een goed verstopte plaats in huis te bewaren.

Het is interessant om een gedegen vergelijking te vinden met welk soort inbraak je het meest rekening moet houden:
Op je netwerk/computer of inbraak/insluiping in je huis. Tot nu ben ik niets dat helderheid/inzicht verschaft tegengekomen. Hier is criteria voor nodig is. Maar welke? Hoe vergelijk je een SKG certificaat met een TLS certificaat? Het heeft volgens mij zelfs geen relevante raakvlakken die bruikbaar zijn om tot een rapportage te komen die zinnig is.
28-07-2016, 13:46 door johanw
Lastpass werkt met online databases en heeft al vaker te kampen gehad met beveiligingsgaten. Die zou ik nooit gebruiken. Ik heb zelf Keepass, het is iets meer werk om de databases te synchroniseren maar er is eigenlijk nooit gelazer mee.
28-07-2016, 15:39 door Anoniem
Door johanw: Lastpass werkt met online databases en heeft al vaker te kampen gehad met beveiligingsgaten. Die zou ik nooit gebruiken. Ik heb zelf Keepass, het is iets meer werk om de databases te synchroniseren maar er is eigenlijk nooit gelazer mee.
Precies Johan! Bij Keepass sla je geen wachtwoorden in de cloud op, wel zo veilig!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.