LastPass-fout lekte inloggegevens vorige website

De fout werd vorige maand al ontdekt door beveiligingsonderzoeker Tavis Ormandy van Google's Project Zero. Ormandy publiceerde zondag details over de fout, waarin ook uitgelegd wordt hoe deze te reproduceren is, schrijft ZDNet. 

Om misbruik te maken van het lek, hoeft alleen malafide JavaScript-code uitgevoerd te worden. Er is geen interactie van de gebruiker nodig. Om die reden wordt de fout als gevaarlijk gezien en is deze mogelijk te misbruiken. Aanvallers kunnen gebruikers bijvoorbeeld naar malafide pagina's lokken en de kwetsbaarheid misbruiken om de inloggegevens te stelen die de gebruiker op eerdere websites heeft ingevoerd. 

Dat is volgens Ormandy vrij simpel. Een aanvaller kan een malafide link namelijk eenvoudig verstoppen achter een Google Translate-URL en gebruikers misleiden om de link te bezoeken. "Ik denk dat we dit een ernstige kwetsbaarheid moeten noemen, zelfs als het niet voor alle URL's werkt", aldus Ormandy. 

Is wachtwoordmanager nog wel veilig?

De fout trof de browserextensies van LastPass voor Chrome en Opera. Het probleem wordt opgelost in versie 4.33.0 van de extensies, die op 12 september uitgebracht werd. De wachtwoordmanager raadt gebruikers dan ook met klem aan om de extensies te updaten, mocht dit niet automatisch gedaan worden. 

Dat er een fout is gevonden in LastPass, betekent overigens niet dat de software niet veilig is. Vrijwel iedere soort software bevat fouten, die uiteindelijk opgelost worden (mits gevonden). Gebruikers wordt dan ook aangeraden om nog steeds een wachtwoordmanager te gebruiken wanneer dat kan. Dit is namelijk veiliger dan wanneer ze in de browser opgeslagen zijn, waar ze eenvoudig uit gehaald kunnen worden met diverse tools en malware. 

Het is overigens niet de eerste keer dat Tavis Ormandy een fout vindt in LastPass. Dit bleek ook het geval in 2017, toen hij meerdere lekken in de wachtwoordmanager meldde. Die problemen zijn inmiddels verholpen.