Bij wachtwoordenbeheerder LastPass zijn in korte tijd twee lekken ontdekt. Het ene lek heeft te maken met het automatisch invullen van wachtwoorden en is inmiddels door de ontwikkelaars gedicht. Het andere lek is echter nog niet gedicht, maar de ontwikkelaars van LastPass zijn al wel op de hoogte. Het nog aanwezige lek werd ontdekt door Google-ontwikkelaar Tavis Ormandy.
Update 28 juli: Beide beveiligingslekken zijn volgens LastPass inmiddels gedicht. Eén van de lekken trof alleen gebruikers van de Firefox-plugin. De nieuwste versie van deze plugin lost het probleem op.
LastPass-lek onderzocht door ontwikkelaars
In een tweet liet Tavis Ormandy weten dat hij naar de beveiliging van de wachtwoordenbeheerder LastPass zou kijken om eventuele lekken te ontdekken. Enkele uren later liet hij wederom via Twitter weten dat hij zijn bevindingen naar LastPass gestuurd heeft. De details van de kwetsbaarheden zijn echter niet bekend, maar mogelijk zorgde het lek ervoor dat wachtwoorden op afstand uitgelezen konden worden. Er zou nog geen misbruik gemaakt zijn van het desbetreffende lek. Ormandy zegt in dezelfde tweet dat hij ook gaat kijken hoe het met de beveiliging van 1Password zit, een andere populaire app om je wachtwoorden te bewaren.
Het inmiddels gedichte lek werd ontdekt door Mathias Karlsson van Detectify. In een blogpost geeft hij aan dat er een probleem was met de browser-extensie van LastPass, waardoor hij wachtwoorden van gebruikers kon inzien. Door de AutoFill-functie van LastPass werden links op een verkeerde manier verwerkt. Dit kan vervolgens door websites gebruikt worden om de inloggegevens van een andere site te achterhalen. Deze kwetsbaarheid gold alleen voor mensen die de AutoFill-functie van LastPass ingeschakeld hadden.
Het is niet de eerste keer dat de beveiliging van LastPass ter sprake komt. Eerder bleek al dat LastPass gevoelig was voor phishing, waardoor jouw inloggegevens gestolen konden worden. LastPass reageerde zelf pas laat op dit probleem, maar wist dit uiteindelijk toch op te lossen.
- 2016 - 28 juli: De beveiligingslekken zijn volgens LastPass inmiddels gedicht.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Het laatste nieuws over Apple van iCulture
- Shazam heeft nu 100 miljard keer muzieknummers herkend: hoeveel Shazams heb jij? (20-11)
- Huidige eigenaar wil van Flitsmeister-app af (15-11)
- Google nu met Gemini-app voor iPhone: download hem hier (14-11)
- Final Cut Pro voor Mac krijgt reeks nieuwe AI-functies met nieuwste update (14-11)
- Apple Music Classical nu eindelijk via CarPlay te beluisteren (12-11)
Reacties: 1 reacties