Er is een kwetsbaarheid ontdekt in de browser-extensie van de wachtwoordmanager LastPass. Kwaadwillenden kunnen daarmee wachtwoorden achterhalen. Chrome- en Firefox-gebruikers lopen risico.
Security-expert Tavis Ormandy ontdekte het lek gisteren. De browser-extensie van LastPass zorgt er onder andere voor dat wachtwoorden automatisch ingevuld worden op de sites die je bezoekt. Via de kwetsbaarheid is die informatie te achterhalen. Of er ook actief misbruik van het lek is gemaakt, is niet duidelijk.
LastPass zou het lek inmiddels hebben aangepakt, althans in Chrome. In de Firefox-extensie is vandaag opnieuw een kwetsbaarheid ontdekt, waar nog geen oplossing voor is gevonden. Gebruikers doen er dan ook slim aan om LastPass voor deze browser tijdelijk uit te schakelen.
Veilig?
Over het algemeen is een wachtwoordkluis als LastPass een stuk veiliger dan het zelf bijhouden van wachtwoorden. Toch blijkt zo nu en dan dat je inloggegevens ook bij deze diensten op de tocht kunnen staan. Zo vond er vorig jaar nog een grote hack plaats bij LastPass. Daarbij werden geen wachtwoorden gestolen, maar wel e-mailadressen.