Nyt sikkerhedshul i password-manager kompromitterer millioner af brugere

Password-manageren LastPass har en 0day-sårbarhed, der gør brugere sårbare over for simpelt angreb.

Sikkerhedsforskere hos Google har fundet en zero day-sårbarhed i password-manageren LastPass, der kompromittere brugere, som besøger et ondsindet website.

Det skriver The Register.

Læs også: Phishing-angreb kan snuppe login til password-manager

Præcis hvad sårbarheden består af er endnu ukendt. Fejlen er fundet af sikkerhedsforsker ved Googles Project Zero Tavis Ormandy, der tidligere har afsløret større sikkerhedsbrister hos Avast, Symantec og Kaspersky.

Ifølge The Register er fejlen nok til at kompromittere brugere konti ved at få dem til at besøge et ondsindet website. Og dermed - fordi LastPass gemmer kodeord i skyen - får hackere nem adgang til alle tjenester, som brugere har bedt LastPass om at huske koderne til.

Læs også: LastPass fik stjålet krypterede master-passwords

Det er langt fra første gang LastPass har problemer med sikkerheden.

I starten af året viste sikkerhedsekspert Sean Cassidy, at login-siden til LastPass kunne efterlignes, så brugere nemt kunne udsættes for phishing-angreb. Sidste år fik LastPass stjålet brugernes passwords, der dog var både saltede og krypterede.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Sune Marcher

Tim, dit link er næppe de samme flaws som Tavis har fundet. Jeg citerer : "Full report sent to LastPass, they're working on it now. Yes, it's a complete remote compromise. Yes, I promise I'll look at 1Password.".

Derudover: "The Register" linket peger på en Version2-artikel fra 2015... jeg går ud fra i ville have linket hertil.

  • 2
  • 0
Peter Christiansen

Ja vi havde en snak på version2 omkring sitet hvor folk blev ved med at påstå at bare man havde den syge kryptering var der ikke noget at komme efter.

Kryptering er ikke medicinen mod alt, det virker ikke hvis serveren / systemet er blevet kompromiteret. Når brugeren har mulighed for at få fat i sine kodeord, har man også som hacker den mulighed, hvis systemet er dårligt kodet.

Pointen er at kryptering er fuldstændig ligegyldigt når man har et hullet system. Og med et ikke hullet system er det bare lidt ekstra fudge man kan smide i hovedet på kunderne som jo heller ikke ved bedre.

Her mener jeg naturligvis kryptering af kodeordene i deres database og ikke transport kryptering så som tls, som er en god ting for at forhindre at nogle skulle opsnappe eens trafik.

  • 0
  • 0
Jimmy Knudsen

Hullet er allerede lappet, så problemet var ikke større. @Brian Hansen: Hvordan sætter man lige en lokal passwordmanager op, der fungerer på tværs af (i mit tilfælde) 2 tablets, 2 pc'ere og en telefon? Det kan man mig bekendt ikke.

  • 1
  • 1
Sune Marcher

Hullet er allerede lappet, så problemet var ikke større.

"Complete remote compromise" lyder ellers som et pænt stort problem i mine ører. Ja, problemet er fixet nu, men var Tavis den første der fandt det?

@Brian Hansen: Hvordan sætter man lige en lokal passwordmanager op, der fungerer på tværs af (i mit tilfælde) 2 tablets, 2 pc'ere og en telefon? Det kan man mig bekendt ikke.

Der er password managers der kan sync'e udenom skyen, så længe man er på samme netværk. F.eks. Sticky Password.

  • 1
  • 0
Log ind eller Opret konto for at kommentere