Onderzoeker: LastPass bevat ernstig lek

Google-onderzoeker Tavis Ormandy beweert een ernstig lek in de wachtwoordmanager LastPass ontdekt te hebben. Door dit lek is het mogelijk dat iemand anders op afstand het apparaat overneemt waarop deze wachtwoordmanager is geïnstalleerd.

De onderzoeker heeft nog geen details over de kwetsbaarheid bekendgemaakt, omdat LastPass nog werkt aan een oplossing voor het probleem. Tot nu toe zijn er geen gevallen van misbruik gemeld naar aanleiding van deze kwetsbaarheid.

Master password
De cloudservice LastPass wordt, net als 1Password en KeePass, gebruikt om wachtwoorden van een gebruiker te bewaren in een digitale kluis. Met een master password kan een gebruiker toegang krijgen tot zijn digitale kluis en zo inloggen op al zijn accounts, zonder dat hij daarvan de wachtwoorden hoeft te onthouden. Dat gemak is echter ook de zwakke schakel: als het master password wordt gehackt, heeft de hacker toegang tot alle wachtwoorden in de digitale kluis van het slachtoffer.

Niet het eerste incident
Het is niet het eerste incident met betrekking tot LastPass. Deze week maakte een onderzoeker van Detectify, een bedrijf dat zich bezighoudt met de beveiliging van websites, bekend dat hij ook een lek in LastPass had gevonden. Deze kwetsbaarheid kon alleen worden gebruikt door kwaadwillenden als de rechtmatige gebruiker van LastPass de wachtwoordmanager zo had ingesteld dat wachtwoorden automatisch ingevoerd werden. Deze kwetsbaarheid is nu opgelost en lijkt geen verband te hebben met het lek dat Tavis Ormandy heeft ontdekt.

Aanmelden voor onze nieuwsbrief