Wachtwoordmanager LastPass dicht ernstig beveiligingslek

Wachtwoordmanager LastPass heeft een ernstig beveiligingslek gedicht. Via de bug konden kwaadaardige websites mogelijk de laatst gebruikte logins uit de browserextentie opvissen.

De fout zat in de vorige update van LastPass en is inmiddels opgelost. Door de bug konden kwaadaardige websites de gebruikersnaam en het wachtwoord te bekijken waarmee gebruikers hebben ingelogd op de website die zij daarvoor bezochten. De zogenaamde 'clickjacking' bug werd ontdekt door Google's securityteam Project Zero. Bij clickjacking wordt een gebruiker gemanipuleerd om op iets te klikken, meestal door het eruit te laten zien als iets anders.

De bug zat enkel in Chrome en Opera webbrowsers en had te maken met een cache die niet juist vernieuwd werd. Om gegevens via de bug te stelen, moet een gebruiker een wachtwoord invullen via LastPass, en daarna naar een kwaadaardige site surfen en meerdere keren op die site klikken. De kans is dus klein dat er veel gegevens via de bug werden gestolen. Details van de bug werden gepubliceerd door Project Zero op hun blog.

In samenwerking met Datanews