Wachtwoordlek in LastPass sinds augustus aanwezig
Een beveiligingslek in de populaire wachtwoordmanager LastPass waardoor aanvallers wachtwoorden konden stelen en bij tien procent van de gebruikers het systeem konden overnemen was sinds vorig jaar augustus aanwezig, zo laat LastPass weten. Het lek, dat door Google-onderzoeker Tavis Ormandy werd gevonden, zou voor zover bekend niet door criminelen zijn gebruikt.
In totaal ontdekte Ormandy twee kwetsbaarheden. Het eerste lek bevond zich in de Firefox-extensie van LastPass en maakte het voor websites mogelijk om wachtwoorden van gebruikers te stelen. De kwetsbaarheid was vorig jaar april al aan LastPass gerapporteerd en gepatcht. De update was echter niet voor de legacy-versie van de Firefox-extensie uitgerold. Deze legacy-versie zal volgende maand worden uitgefaseerd.
Het tweede probleem maakte het ook mogelijk voor websites om wachtwoorden van LastPass-gebruikers te stelen, maar kon bij 10 procent van de gebruikers die het "binary component" draaiden ook het systeem overnemen. LastPass heeft meer dan 6,5 miljoen gebruikers onder Chrome- en Firefox-gebruikers. Beide kwetsbaarheden werd in 2 dagen opgelost. Updates voor de Chrome- en Firefox-versies zijn inmiddels beschikbaar. De nieuwe versies voor Edge en Opera wachten nog op goedkeuring van de betreffende stores.
Om herhaling in de toekomst te voorkomen zegt LastPass dat het de controle van code en beveiligingsprocessen gaat herzien en versterken, met name als het om nieuwe en experimentele features gaat. Daarnaast bedankt het ontwikkelteam in een analyse van de bugmeldingen Tavis Ormandy voor zijn werk.
welbekend en veelgebruikt is.
Dat is dan interessant om uit te zoeken en proberen te kraken.
Daarom zijn zelfbedachte methodes (hier meestal weggehoond als "onveilig want niet encrypted") meestal beter bestand
tegen dit soort aanvallen.
welbekend en veelgebruikt is.
Dat is dan interessant om uit te zoeken en proberen te kraken.
Daarom zijn zelfbedachte methodes (hier meestal weggehoond als "onveilig want niet encrypted") meestal beter bestand
tegen dit soort aanvallen.
Beter gezegd: dit heeft met de veiligheid van de Lastpass extensive te maken, en inderdaad niets met het cloud gedeelte.
Ik zelf ben Dashlane aan het testen via een lange trial periode, en overweeg om van Lastpass af te stappen. Maar ben zelf aan te het overwegen f ik toch niet op KeePass overstap. (te) Vaak blijkt het dat omdat de source code van password managers zoals Lastpass niet opensource is, dat het daardoor vaker gebeurd dat een onderzoeker daar lekken in vindt, als redelijk lang duren totdat ze worden gevonden. Nu is KeePass ook geen vulnerability-proof optie (want er is bijv. malware in de omloop dat een dump maakt van je KeePass kluis wanneer je de kluis hebt ontgrendelt en open staan, maar ik krijg de indruk dat KeePass aanzienlijk minder te maken heeft met exploits dan de rest. Al schijnt 1Password het ook best goed te doen. Dus misschien is dat ook een alternatief.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
