LastPass, dat bekent staat als de ‘kluis voor wachtwoorden’, blijkt mogelijk minder veilig dan gedacht. Een beveiligingsonderzoeker vond een kwetsbaarheid in de software waar de makers niets vanaf wisten, waarmee hackers op afstand kunnen inbreken in de miljoenen accounts van de wachtwoord-service.
Tavis Ormandy vond het probleem en plaatste hier een tweet over. Volgens hem hoef je alleen naar een malafide website te gaan om slachtoffer te worden van de kwetsbaarheid. Ormandy heeft hier een volledig rapport naar het bedrijf over gestuurd.
Full report sent to LastPass, they're working on it now. Yes, it's a complete remote compromise. Yes, I promise I'll look at 1Password.
— Tavis Ormandy (@taviso) July 27, 2016
Op een blog van het bedrijf wordt beschreven hoe de hack verder in zijn werk gaat. Een aanvaller moet een LastPass-gebruiker eerst naar een malafide website krijgen. Vanaf daar kan de website LastPass-acties uitvoeren – bijvoorbeeld dingen verwijderen – op de achtergrond, zonder dat de gebruiker dit doorheeft. Het probleem lijkt vooral in Firefox voor te komen. Het lek is inmiddels gedicht. Om veilig te blijven moet je de extensie echter wel updaten.