LastPass verhelpt kwetsbaarheid in browser-extensie

De browserextensie van LastPass voor Chrome en Opera was kwetsbaar voor een aanval waarmee een hacker wachtwoorden kon stelen. Een beveiligingsonderzoeker ontdekte het probleem en LastPass heeft het verholpen.

Wachtwoordmanagementdienst LastPass heeft een bug verholpen in zijn browserextensies voor Chrome en Opera. Die bug liet aanvallers in specifieke scenario’s toe om wachtwoorden te stelen. Het euvel werd ontdekt door een beveiligingsonderzoeker van Google’s gerenomeerde Project Zero, dat pas nog in opspraak kwam na de ontdekking van beveiligingsproblemen met de iPhone. Google maakte het probleem kenbaar aan LastPass volgens de geijkte procedures.

Concreet ging het om een bug die een aanvaller kon uitbuiten via een gecompromitteerde website. Door een gebruiker op zo’n site te overtuigen LastPass te gebruiken en op enkele zaken te klikken, werd het laatst gebruikte wachtwoord blootgegeven. De aanval was redelijk specifiek en er is geen reden om aan te nemen dat de techniek al in het wild gebruikt werd. Om zeker te zijn dat je beschermd bent, kijk je best even na dat je browserextensies up to date zijn.

Veiliger dan het alternatief

Een lek is nooit een goede zaak, maar bij een wachtwoordmanager als LastPass is een beveiligingsprobleem des te problematischer. Het idee is immers dat gebruikers al hun wachtwoorden van alle diensten die ze gebruiken, toevertrouwen aan de dienst. In deze is er gelukkig niets gebeurd. Ondanks dit probleem blijft het gebruik van een wachtwoordmanager aan te raden. De software helpt je immers om complexe en unieke wachtwoorden voor al je logins te gebruiken, terwijl jij enkel het master-wachtwoord hoeft te onthouden.

LastPass raadt zelf nog aan multifactorauthenticatie te gebruiken voor de eigen dienst alsook alle andere belangrijke accounts. Verder houd je best in je achterhoofd hoe kwalitatief phishing vandaag is geworden. Zo verklein je de kans dat je naar een malafide website wordt omgeleid waar een hacker een eventueel lek kan uitbuiten.

Gerelateerd: Meer dan 1 miljard e-mailadressen en wachtwoorden online gedumpt