LastPass Beveiligingsupdates

Gepubliceerd om: 1:15 PM ET

Bij LastPass staat veiligheid voorop bij al ons werk. Als er een beveiligingsrapport vrijkomt over een mogelijke exploit (kwetsbaarheid), krijgt de oplossing hiervan dan ook de hoogste prioriteit.

Als reactie op recent nieuws willen we hieronder dieper ingaan op twee rapporten die met ons team zijn gedeeld. Eén rapport is gisteren vrijgegeven, het andere is meer dan een jaar geleden verantwoordelijk gemeld en opgelost. In beide gevallen hadden hackers voor de exploit een phishing-aanval nodig om gebruikers naar een schadelijke website te lokken.

Het eerste rapport is ruim een jaar geleden door de beveiligingsonderzoeker Matias Karlsson aan ons team gemeld en toen ook opgelost. Karlsson publiceerde kortgeleden zijn bevindingen over de zogeheten URL parsing bug die hij had gevonden. Alle browser-clients werden geüpdatet en Karlsson bevestigde onze oplossing. Er was geen verdere actie vereist van onze gebruikers.

Het tweede rapport is gisteren aan ons team gemeld door Tavis Ormandy, een onderzoeker van het beveiligingteam van Google. Hier ging het om een bug in de LastPass-extensie voor Firefox, die berichten kaapt. Ten eerste moet een aanvaller erin slagen om een LastPass-gebruiker naar een kwaadaardige website te lokken. Ormandy demonstreerde dat de website dan LastPass-handelingen kon uitvoeren op de achtergrond, zonder dat de gebruiker dit merkte. Zo konden bijvoorbeeld items worden gewist. Zoals hieronder wordt beschreven is dit probleem inmiddels volledig afgehandeld. Alle gebruikers van LastPass 4.0 op Firefox hebben een update met een bugfix ontvangen.

Verdere aanbevelingen

We weten dat LastPass-gebruikers over het algemeen bijzonder bewust omgaan met hun veiligheid. Toch kan een kleine herinnering geen kwaad. LastPass beveelt de volgende best practices aan voor uw online beveiliging:

  • Pas op voor phishing-aanvallen. Klik niet op links van onbekenden of op links die niet overeenstemmen met wat u gewend bent van uw vertrouwde contactpersonen en bedrijven.
  • Gebruik voor ieder online account een ander, uniek wachtwoord.
  • Gebruik een sterk en veilig masterwachtwoord voor uw LastPass-account, dat u aan niemand meedeelt – ook niet aan ons.
  • Schakel tweeledige verificatie in voor LastPass en andere online diensten, zoals uw bank, e-mail, Twitter, Facebook, etc.
  • Houd uw computer en mobiele apparaten schoon met behulp van antivirussoftware, en update uw software zodra dit kan.

Hartelijk dank nogmaals aan Tavis, Mathias en andere beveiligingsprofessionals voor hun verantwoorde meldingen! We hechten veel waarde aan hun werk, omdat we hiermee een sterker en veiliger product kunnen leveren.

____

Hierbij geven we onze LastPass-gebruikers een korte update over belangrijke fixes die zijn aangebracht als reactie op twee recente beveiligingsrapporten. Ons team heeft direct samengewerkt met de beveiligingsonderzoekers om de rapporten te bevestigen en een oplossing te bieden voor LastPass-gebruikers.

Het meest recente rapport is alleen van belang voor gebruikers van Firefox. Als u Firefox gebruikt met LastPass 4.0 of hoger, ontvangt u via uw browser een automatische update met de fix in versie 4.1.21a. Als u uw client proactief wilt updaten, vindt u een download onder de volgende link: https://lastpass.com/lastpassffx. In uw browserextensie kunt u zien welke versie van LastPass u momenteel gebruikt, onder “Meer opties” > “Over LastPass”. Als u gebruikt maakt van LastPass 3.0 loopt u geen risico en hoeft u niets te doen.

De melding is ook niet van toepassing op andere browsers, en gebruikers van andere browsers hoeven ook niets te doen.

Zoals altijd hechten we veel waarde aan het werk van de beveiligingsprofessionals die ons product uitdagen en er zo voor zorgen dat we onze gebruikers een veilige dienst kunnen bieden. Binnenkort wordt hier meer informatie geplaatst over deze bugfixes.