Nieuws
image

Wachtwoordlek in LastPass sinds augustus aanwezig

donderdag 23 maart 2017, 09:51 door Redactie, 3 reacties

Een beveiligingslek in de populaire wachtwoordmanager LastPass waardoor aanvallers wachtwoorden konden stelen en bij tien procent van de gebruikers het systeem konden overnemen was sinds vorig jaar augustus aanwezig, zo laat LastPass weten. Het lek, dat door Google-onderzoeker Tavis Ormandy werd gevonden, zou voor zover bekend niet door criminelen zijn gebruikt.

In totaal ontdekte Ormandy twee kwetsbaarheden. Het eerste lek bevond zich in de Firefox-extensie van LastPass en maakte het voor websites mogelijk om wachtwoorden van gebruikers te stelen. De kwetsbaarheid was vorig jaar april al aan LastPass gerapporteerd en gepatcht. De update was echter niet voor de legacy-versie van de Firefox-extensie uitgerold. Deze legacy-versie zal volgende maand worden uitgefaseerd.

Het tweede probleem maakte het ook mogelijk voor websites om wachtwoorden van LastPass-gebruikers te stelen, maar kon bij 10 procent van de gebruikers die het "binary component" draaiden ook het systeem overnemen. LastPass heeft meer dan 6,5 miljoen gebruikers onder Chrome- en Firefox-gebruikers. Beide kwetsbaarheden werd in 2 dagen opgelost. Updates voor de Chrome- en Firefox-versies zijn inmiddels beschikbaar. De nieuwe versies voor Edge en Opera wachten nog op goedkeuring van de betreffende stores.

Om herhaling in de toekomst te voorkomen zegt LastPass dat het de controle van code en beveiligingsprocessen gaat herzien en versterken, met name als het om nieuwe en experimentele features gaat. Daarnaast bedankt het ontwikkelteam in een analyse van de bugmeldingen Tavis Ormandy voor zijn werk.

Reacties (3)
23-03-2017, 10:09 door Anoniem
Wat ben ik blij dat ik destijds van LastPass ben overgestapt naar KeePass. Mn wachtwoorden hoeven niet in de cloud opgeslagen te worden. Dan krijg je dit soort dingen.
23-03-2017, 10:55 door Anoniem
Door Anoniem: Wat ben ik blij dat ik destijds van LastPass ben overgestapt naar KeePass. Mn wachtwoorden hoeven niet in de cloud opgeslagen te worden. Dan krijg je dit soort dingen.
Ehhh.... dit heeft niks te maken met cloud opslag, maar alleen met opslaan van wachtwoorden in een systeem wat
welbekend en veelgebruikt is.
Dat is dan interessant om uit te zoeken en proberen te kraken.

Daarom zijn zelfbedachte methodes (hier meestal weggehoond als "onveilig want niet encrypted") meestal beter bestand
tegen dit soort aanvallen.
23-03-2017, 19:48 door Anoniem
Door Anoniem:
Door Anoniem: Wat ben ik blij dat ik destijds van LastPass ben overgestapt naar KeePass. Mn wachtwoorden hoeven niet in de cloud opgeslagen te worden. Dan krijg je dit soort dingen.
Ehhh.... dit heeft niks te maken met cloud opslag, maar alleen met opslaan van wachtwoorden in een systeem wat
welbekend en veelgebruikt is.
Dat is dan interessant om uit te zoeken en proberen te kraken.

Daarom zijn zelfbedachte methodes (hier meestal weggehoond als "onveilig want niet encrypted") meestal beter bestand
tegen dit soort aanvallen.

Beter gezegd: dit heeft met de veiligheid van de Lastpass extensive te maken, en inderdaad niets met het cloud gedeelte.

Ik zelf ben Dashlane aan het testen via een lange trial periode, en overweeg om van Lastpass af te stappen. Maar ben zelf aan te het overwegen f ik toch niet op KeePass overstap. (te) Vaak blijkt het dat omdat de source code van password managers zoals Lastpass niet opensource is, dat het daardoor vaker gebeurd dat een onderzoeker daar lekken in vindt, als redelijk lang duren totdat ze worden gevonden. Nu is KeePass ook geen vulnerability-proof optie (want er is bijv. malware in de omloop dat een dump maakt van je KeePass kluis wanneer je de kluis hebt ontgrendelt en open staan, maar ik krijg de indruk dat KeePass aanzienlijk minder te maken heeft met exploits dan de rest. Al schijnt 1Password het ook best goed te doen. Dus misschien is dat ook een alternatief.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search