Wachtwoordmanagers hebben als doel om wachtwoorden van gebruikers veilig op te slaan zodat ze tegen aanvallen zijn beschermd, maar een ernstig beveiligingslek in de wachtwoordmanager Dashlane zorgde ervoor dat aanvallers wachtwoorden, cookies, gebruikersdata en andere inloggegevens konden stelen.

De kwetsbaarheid werd door Google-onderzoeker Tavis Ormandy ontdekt. Een programmeerinterface (api) die Dashlane gebruikte was kwetsbaar voor universele cross-site scripting. Daardoor kon elke willekeurige website een cross-site scripting-aanval op andere websites uitvoeren en zo toegang tot cookies en gebruikersdata krijgen en wachtwoorden en inloggegevens voor elke website stelen, aldus Ormandy. Volgens de onderzoeker gaat het om een ernstig beveiligingslek.

Hoewel het niet mogelijk is om willekeurige code via de kwetsbaarheid uit te voeren, wat vaak de graadmeter is om een kwetsbaarheid als ernstig te beschouwen, is het toch een ernstig lek, stelt Ormandy. De wachtwoordmanager heeft namelijk als enige rol het beschermen van wachtwoorden en de kwetsbaarheid maakte het juist mogelijk die te stelen. Ormandy merkt op dat de patch een maand op zich liet wachten doordat Apple alle updates in de App Store controleert. In de release notes van de nieuwe versie maakt Dashlane echter nergens melding van het ernstige beveiligingslek.