Een beveiligingslek in de populaire wachtwoordtool LastPass zorgt ervoor dat aanvallers op eenvoudige wijze privégegevens en mogelijk ook wachtwoorden kunnen achterhalen. Lastpass is een "password manager" die inloggegevens voor websites in een versleutelde container bewaart en met een "master" wachtwoord beschermt. De tool kan wachtwoorden tussen verschillende browsers en machines synchroniseren.

De ontwikkelaar biedt ook verschillende browser-plugins en een webinterface om de opgeslagen inloggegevens te beheren. Onlangs werd de miljoenste LastPass-gebruiker verwelkomd. Alle miljoen gebruikers moet zicht ernstig zorgen maken, aldus de Britse beveiligingsonderzoeker Mike Cardwell.

Hij ontdekte een eenvoudig cross-site scripting (XSS) lek, waardoor een aanvaller allerlei vertrouwelijke gegevens kon stelen. Het ging om het e-mailadres, wachtwoord herinnering, sites om op in te loggen en geschiedenis van logins, waaronder ingelogde websites, tijd en data en het gebruikte IP-adres. Om de aanval te laten slagen moest het slachtoffer alleen op LastPass zijn ingelogd en vervolgens de website van de aanvaller bezoeken.

Gevaarlijk
De onderzoeker informeerde eerst LastPass, dat het probleem binnen drie uur verhielp. Toch denkt Cardwell dat een soortgelijk probleem zich eenvoudig in de toekomst weer kan voordoen. "Ik denk dat dit uiteindelijk een probleem binnen hun architectuur is." Wat betreft zijn eigen aanval erkent Cardwell dat de "heilige graal" voor een aanvaller de lijst met gebruikersnamen en wachtwoorden is. "Het is mij niet gelukt, maar ik weet zeker dat het te doen is."

Hij is dan ook teleurgesteld in LastPass, dat het systeem beter had moeten ontwikkelen door met XSS-problemen rekening te houden. Nu zorgen dit soort kwetsbaarheden ervoor dat een aanvaller meteen toegang tot zeer gevoelige informatie kan krijgen. "Misschien is het gewoon inherent gevaarlijk om je wachtwoordbeheer aan een derde partij te outsourcen."