Lastpass kwetsbaarheid van browserextensie onthuld: hoe veilig te blijven

Een van de meest populaire wachtwoordbeheerders LastPass kampt met ernstige problemen met zijn browserextensies, aangezien er de afgelopen week meerdere kwetsbaarheden met de service zijn ontdekt en deze nog steeds bestaan.

Technologie evolueert voortdurend, en hoewel het bedoeld is om onze levensstijl te verbeteren, kan het soms zelfs schadelijk zijn als bepaalde bugs worden uitgebuit, vooral wanneer het een service zoals LastPass betreft, die verantwoordelijk is voor het beveiligen van tientallen miljoenen wachtwoorden.

Vorige week, op 20 maart, ontdekte Tavis Ormandy, een onderzoeker bij Google's Project Zero, twee bugs in browserextensies van LastPass die gebruikers kwetsbaar maakten voor het uitvoeren van externe code.

De geopenbaarde kwetsbaarheden troffen zowel zakelijke als persoonlijke gebruikers van de service.

Kwetsbaarheden onthuld in de afgelopen week?

20 maart: Tavis Ormandy vindt twee Remote Code Execution (RCE) kwetsbaarheden die de browserextensies van LastPass beïnvloeden - waardoor een aanvaller mogelijk wachtwoorden kan stelen.

Oeps, nieuwe LastPass-bug die gevolgen heeft voor 4.1.42 (Chrome & FF). RCE als u de "Binaire component" gebruikt, kan anders pwds stelen. Volledig rapport onderweg. pic.twitter.com/y92vm3Ibxd

- Tavis Ormandy (@taviso) 20 maart 2017

21 maart: LastPass bevestigt het rapport van Ormandy en bevestigt dat de kwetsbaarheden bestaan ​​en dat hun team eraan zal werken om ze op te lossen.

We zijn op de hoogte van het rapport van @taviso en ons team heeft een tijdelijke oplossing ingevoerd terwijl we werken aan een oplossing. Blijf op de hoogte voor updates.

- LastPass (@LastPass) 21 maart 2017

22 maart: Het bedrijf kondigt aan dat ze nieuwe browserversies van Chrome (v 4.1.43) en Firefox (v 4.1.36) hebben uitgebracht met beveiligingsupdates.

Ze vermeldden ook dat er tussen deze periode geen gegevens waren aangetast en dat gebruikers zich geen zorgen hoeven te maken over het wijzigen van hun inloggegevens. Bijgewerkte versies van Microsoft Edge en Opera-browserextensies worden vrijgegeven in afwachting van goedkeuring door het bedrijf.

25 maart: Tavis Ormandy onthult een andere kwetsbaarheid waarmee de bijgewerkte versie van de Google Chrome-browserextensie (v 4.1.43) wordt geconfronteerd. LastPass erkent het beveiligingslek in een update van hun aankondiging van 22 maart.

Ah-ha, ik had vanmorgen een epiphany in de douche en realiseerde me hoe ik codeexec kon krijgen in LastPass 4.1.43. Volledig rapport en exploiteer onderweg. pic.twitter.com/vQn20D9VCy

- Tavis Ormandy (@taviso) 25 maart 2017

27 maart: LastPass heeft een verklaring afgegeven: 'We pakken het beveiligingslek niet actief aan. Deze aanval is uniek en zeer geavanceerd. We willen niets specifieks over de kwetsbaarheid of onze oplossing onthullen die iets zou kunnen onthullen aan minder geavanceerde maar snode partijen. '

Hoe veilig te blijven?

Momenteel heeft LastPass bevestigd dat het bezig is om de beveiligingsproblemen met hun service op te lossen en binnenkort kan een volledige fix worden verwacht. In de tussentijd wordt het voor LastPass-gebruikers aanbevolen om de volgende voorzorgsmaatregelen in acht te nemen.

• Om hun inloggegevens te beschermen, wordt gebruikers aangeraden om de browserextensies in de tussentijd uit te schakelen en websites rechtstreeks vanuit de LastPass Vault te starten totdat de kwetsbaarheden door het bedrijf zijn opgelost.
• Schakel Two-Factor Authentication in voor alle accounts die de optie bieden, waardoor uw account een extra beveiligingslaag krijgt voor het geval het beveiligingslek door een aanvaller wordt misbruikt.
• Let op phishing-aanvallen. Klik niet op links van niet-vertrouwde bronnen - mensen die u niet kent

Op zoek naar alternatieven voor LastPass? Bekijk hier de top 3 alternatieven.