LastPass adviseert: Open websites alleen uit de Vault!

Het bedrijf raadt ondertussen haar gebruikers aan om de opgeslagen websites meteen vanuit de lokaal opgeslagen LastPass Vault te openen. Het lek kwam aan het licht door een Google-onderzoeker.

Door gebruik te maken van de LastPass-extensie is het mogelijk om de wachtwoorden automatisch in te vullen bij de verschillende diensten. LastPass raadt echter momenteel af om deze werkwijze te hanteren. Tot op het ogenblik dat de kwetsbaarheid is verholpen wil het haar gebruikers dan ook aanzetten om de websites in te laden vanuit de Vault. Dit is volgens de dienst op moment van schrijven de veiligste werkwijze. Autofill kan worden uitgeschakeld door gebruik te maken van de ‘Automatically fill login- information’ optie onder het tabblad voorkeuren.

Het was de Google-beveiligingsonderzoeker Tavis Ormandy die het voorbije weekend vaststelde dat er een kwetsbaarheid in de browser-extensie zat. Hij wist voor het lek een exploit te ontwikkelen en verstrekte de details aan LastPass. Vervolgens werd door deze laatste op haar blog gemeld te beginnen met het ontwikkelen van een passende oplossing. LastPass heeft eerder ook reeds aangegeven dat haar gebruikers zoveel mogelijk gebruik zouden moeten maken van een tweetrapsauthentificatie bij elke dienst die een dergelijke optie aanbiedt. Op deze manier zouden gebruikers pas echt goed kunnen worden beschermd tegen phishingaanvallen.

Het is niet de eerste keer dat LastPass krijgt af te rekenen met een beveiligingslek. Toch staat de dienst er om bekend de dreiging doorgaans efficiënt aan te pakken waardoor het probleem op korte termijn kan worden verholpen.