Gepubliceerd om: 1:15 PM ET
Bij LastPass staat veiligheid voorop bij al ons werk. Als er een beveiligingsrapport vrijkomt over een mogelijke exploit (kwetsbaarheid), krijgt de oplossing hiervan dan ook de hoogste prioriteit.
Als reactie op recent nieuws willen we hieronder dieper ingaan op twee rapporten die met ons team zijn gedeeld. Eén rapport is gisteren vrijgegeven, het andere is meer dan een jaar geleden verantwoordelijk gemeld en opgelost. In beide gevallen hadden hackers voor de exploit een phishing-aanval nodig om gebruikers naar een schadelijke website te lokken.
Het eerste rapport is ruim een jaar geleden door de beveiligingsonderzoeker Matias Karlsson aan ons team gemeld en toen ook opgelost. Karlsson publiceerde kortgeleden zijn bevindingen over de zogeheten URL parsing bug die hij had gevonden. Alle browser-clients werden geüpdatet en Karlsson bevestigde onze oplossing. Er was geen verdere actie vereist van onze gebruikers.
Het tweede rapport is gisteren aan ons team gemeld door Tavis Ormandy, een onderzoeker van het beveiligingteam van Google. Hier ging het om een bug in de LastPass-extensie voor Firefox, die berichten kaapt. Ten eerste moet een aanvaller erin slagen om een LastPass-gebruiker naar een kwaadaardige website te lokken. Ormandy demonstreerde dat de website dan LastPass-handelingen kon uitvoeren op de achtergrond, zonder dat de gebruiker dit merkte. Zo konden bijvoorbeeld items worden gewist. Zoals hieronder wordt beschreven is dit probleem inmiddels volledig afgehandeld. Alle gebruikers van LastPass 4.0 op Firefox hebben een update met een bugfix ontvangen.
Verdere aanbevelingen
We weten dat LastPass-gebruikers over het algemeen bijzonder bewust omgaan met hun veiligheid. Toch kan een kleine herinnering geen kwaad. LastPass beveelt de volgende best practices aan voor uw online beveiliging:
- Pas op voor phishing-aanvallen. Klik niet op links van onbekenden of op links die niet overeenstemmen met wat u gewend bent van uw vertrouwde contactpersonen en bedrijven.
- Gebruik voor ieder online account een ander, uniek wachtwoord.
- Gebruik een sterk en veilig masterwachtwoord voor uw LastPass-account, dat u aan niemand meedeelt – ook niet aan ons.
- Schakel tweeledige verificatie in voor LastPass en andere online diensten, zoals uw bank, e-mail, Twitter, Facebook, etc.
- Houd uw computer en mobiele apparaten schoon met behulp van antivirussoftware, en update uw software zodra dit kan.