• De afgelopen dagen zijn er meerdere fora waarop bestaande accounts worden overgenomen door spammers. De gebruikersnamen en wachtwoorden zijn via een hack of een lek via andere sites buitgemaakt. Via have i been pwned? kan je controleren of jouw gegeven ook zijn buitgemaakt. Wijzig bij twijfel jouw wachtwoord of schakel de twee-staps-verificatie in.

Lastpass beveiligingslek

Status
Niet open voor verdere reacties.

Aarie25

NCF Goeroe
Forumleiding
Moderator
Lid geworden
12 apr 2013
Berichten
25.736
Waarderingsscore
1.389
Voor mensen die Lastpass gebruiken, er zit een lek in Lastpass. Waardoor jou wachtwoorden niet veilig zijn. Er is een tijdelijke oplossing uit gebracht en er wordt aan een patch gewerkt.

Google vindt ernstig lek in wachtwoordmanager LastPass

Google-onderzoeker Tavis Ormandy heeft een ernstig beveiligingslek in de wachtwoordmanager LastPass ontdekt waardoor een aanvaller systemen in het ergste geval kan overnemen en anders wachtwoorden kan stelen. LastPass is een clouddienst waar gebruikers hun wachtwoorden voor allerlei websites in een 'kluis' kunnen opslaan. De gebruiker hoeft alleen een hoofdwachtwoord te onthouden om de opgeslagen wachtwoorden te gebruiken.
Ormandy ontdekte dat de Chrome- en Firefox-versie van LastPass-extensie een kwetsbaarheid bevat waardoor het mogelijk is om op afstand willekeurige code uit te voeren en wachtwoorden te stelen. Details zal de onderzoeker later bekend maken. De exploit die hij ontwikkelde om de aanval op het lek te demonstreren werkt op Windows, maar kan ook voor andere platformen worden aangepast.
LastPass laat weten dat het na te zijn ingelicht een tijdelijke oplossing heeft uitgerold en aan een permanente fix werkt. Vorig jaar ontdekte Ormandy ook al een ernstige kwetsbaarheid in LastPass waardoor het systeem van gebruikers op afstand volledig kon worden overgenomen. Kort na de aankondiging van Ormandy op Twitter over dat lek kwam LastPass met een update om het probleem te verhelpen.

--- Update ---

Weer een nieuw lek gevonden.

Google vindt weer ernstig lek in wachtwoordmanager LastPass

Een aantal uren na het uitkomen van een beveiligingsupdate voor de wachtwoordmanager LastPass heeft Google-onderzoeker Tavis Ormandy opnieuw een kwetsbaarheid in de software gevonden waardoor kwaadaardige websites wachtwoorden van gebruikers kunnen stelen.
Gisteren werd bekend dat er een ernstig beveiligingslek in LastPass zat waardoor aanvallers kwetsbare systemen konden overnemen en wachtwoorden konden stelen. De kwetsbaarheid was aanwezig in de browserextensie voor Google Chrome en Firefox met versienummer 4.1.42. LastPass kwam met een update om het probleem te verhelpen. Een aantal uren na het verschijnen van de update maakte Ormandy via Twitter bekend dat hij wederom een beveiligingslek in de extensie had gevonden waardoor een website wachtwoorden van gebruikers kon stelen. LastPass laat weten dat het probleem zich in de Firefox-extensie bevindt en er aan een update wordt gewerkt.
Zo'n 750.000 Firefox-gebruikers hebben LastPass genstalleerd, terwijl 5,7 miljoen Chrome-gebruikers met de wachtwoordmanager werken. LastPass is een clouddienst waar gebruikers hun wachtwoorden voor allerlei websites in een 'kluis' kunnen opslaan. De gebruiker hoeft alleen een hoofdwachtwoord te onthouden om de opgeslagen wachtwoorden te gebruiken. Vorig jaar ontdekte Ormandy ook al een ernstige kwetsbaarheid in LastPass waardoor het systeem van gebruikers op afstand volledig kon worden overgenomen.
 
Laatst bewerkt door een moderator:
Kan je misschien ook aangeven wat die tijdelijke oplossing is en hoe deze te implementeren?
 
Het eerste lek is nu gedicht en het tweede lek wordt aangewerkt.
Dus ik weet niet of jij handmatig kunt updaten?

Er is een patch uitgekomen voor een kwetsbaarheid in de populaire wachtwoordmanager LastPass, nadat dit was gemeld door Google-beveiligingsonderzoeker Tavis Ormandy. Kort na de aankondiging van de patch vond Ormandy opnieuw een lek.

Bij het nieuwe lek gaat het om een kwetsbaarheid in versie 4.1.35 van de wachtwoordmanagersoftware voor Firefox, die het mogelijk maakt om wachtwoorden te stelen vanaf een willekeurig domein. LogMeIn-dochter LastPass zegt aan een oplossing te werken. De lekken die Googles Project Zero-medewerker Ormandy vindt, worden doorgaans snel door LastPass gepatcht. Dinsdag meldde Ormandy al eerder een lek aan de dienst, waarvoor inmiddels een patch is uitgebracht.

https://tweakers.net/nieuws/122619/...-lastpass-nadat-eerder-lek-werd-gepatcht.html
 
Laatst bewerkt door een moderator:
Nee, dat kan niet.

Voor de mensen die Chrome gebruiken controleer de extensie. Dit moet er bij staan:

Versie: 4.1.42
Laatst bijgewerkt: 22 maart 2017
 
Dit geldt voor zowel Chrome als Firefox. ->
Ormandy ontdekte dat de Chrome- en Firefox-versie van LastPass-extensie een kwetsbaarheid bevat waardoor het mogelijk is om op afstand willekeurige code uit te voeren

Alleen het laatst gevonden lek is alleen voor Firefox.
 
Laatst bewerkt door een moderator:
Ik gebruik alleen de extensie in de browser. Heb dus verder ook geen installatie binnen Windows gedaan. Die extensie is gisteren ook gepdatet.
 
De versie in mijn Firefox is 4.1.36a en is gisteren bijgewerkt.
Updates heb ik op "aan" staan.
 
De beide lekken zijn inmiddels opgelost.

Wachtwoordlek in LastPass sinds augustus aanwezig

Een beveiligingslek in de populaire wachtwoordmanager LastPass waardoor aanvallers wachtwoorden konden stelen en bij tien procent van de gebruikers het systeem konden overnemen was sinds vorig jaar augustus aanwezig, zo laat LastPass weten. Het lek, dat door Google-onderzoeker Tavis Ormandy werd gevonden, zou voor zover bekend niet door criminelen zijn gebruikt.
In totaal ontdekte Ormandy twee kwetsbaarheden. Het eerste lek bevond zich in de Firefox-extensie van LastPass en maakte het voor websites mogelijk om wachtwoorden van gebruikers te stelen. De kwetsbaarheid was vorig jaar april al aan LastPass gerapporteerd en gepatcht. De update was echter niet voor de legacy-versie van de Firefox-extensie uitgerold. Deze legacy-versie zal volgende maand worden uitgefaseerd.
Het tweede probleem maakte het ook mogelijk voor websites om wachtwoorden van LastPass-gebruikers te stelen, maar kon bij 10 procent van de gebruikers die het "binary component" draaiden ook het systeem overnemen. LastPass heeft meer dan 6,5 miljoen gebruikers onder Chrome- en Firefox-gebruikers. Beide kwetsbaarheden werd in 2 dagen opgelost. Updates voor de Chrome- en Firefox-versies zijn inmiddels beschikbaar. De nieuwe versies voor Edge en Opera wachten nog op goedkeuring van de betreffende stores.
Om herhaling in de toekomst te voorkomen zegt LastPass dat het de controle van code en beveiligingsprocessen gaat herzien en versterken, met name als het om nieuwe en experimentele features gaat. Daarnaast bedankt het ontwikkelteam in een analyse van de bugmeldingen Tavis Ormandy voor zijn werk.
 
Een (gratis / open source) alternatief voor Lastpass is KeePass:

http://keepass.info/

Het voordeel van KeePass is dat de wachtwoorden lokaal in eigen beheer blijven (geen cloud). Het encrypted database bestand kan als backup worden bewaard en is goed te beveiligen (multi factor, Yubikey etc.)

KeePass is standaard software op Linux distributies en wordt daardoor veel gebruikt. Er is ook een Windows versie en er zijn plugins voor Firefox en Chrome.
 
Bedankt voor de info! In principe is het risico op verlies van de database file (zoals vermeld in het topic) op diverse manieren te ondervangen, zodat het in principe net zo flexibel is als LastPass, maar wel veel veiliger en zonder toegang voor derden / een bedrijf.

Je kunt de KeePass database bijvoorbeeld automatisch synchroniseren met cloud opslag zoals Google Drive, Dropbox of de gratis cloud backup opslag van je internet provider. Je kunt dat in Windows zelfs real time (bij elke update, na het opslaan van een nieuw wachtwoord) instellen zodat de cloud backup altijd up to date is.

Als je vervolgens Windows opnieuw installeert, dan volstaat het om KeePass opnieuw te installeren en te koppelen met de password database (en security key file).

Voor KeePass heb je eenvoudigweg enkel de database + optionele security key file nodig. De database is vervolgens te gebruiken op andere PC's, mobiele toestellen, Linux/Mac etc.

Je kunt de KeePass database ook exporteren in textformaat zoals Excel of CSV voor opslag op een beveiligde USB stick (e.g. in een fysieke kluis). Zo voorkom je dat het verlies van de encryptie sleutel of beschadiging van de database file leidt tot verlies van de wachtwoorden.

Met browser plugins is er qua gebruiksgemak geen wezenlijk verschil met LastPass, het is dus net zo simpel in gebruik. Het beheer vergt iets meer aandacht in ruil voor extra veiligheid / zonder toegang door derden / bedrijven.
 
Laatst bewerkt door een moderator:
Nee, dat kan niet.

Voor de mensen die Chrome gebruiken controleer de extensie. Dit moet er bij staan:

Versie: 4.1.42
Laatst bijgewerkt: 22 maart 2017

Bij mij staat 4.1.43
 
Nu is het zo dat er bij Lastpass ook niemand bij je wachtwoorden kan hoor. Het hoofdwachtwoord wordt niet opgeslagen en is dus ook niet te herstellen wanneer je het kwijt bent. Ik vind de cloud backup naar Google geen goed idee vanwege de datahonger die men daar kent.
 
Ik denk omdat dit het tweede lek is die gedicht is.
Dit is op 23 maart gebeurd.

Dat is best mogelijk, de problemen zijn met Firefox, en die gebruik ik toch niet.

--- Update ---

Nu is het zo dat er bij Lastpass ook niemand bij je wachtwoorden kan hoor. Het hoofdwachtwoord wordt niet opgeslagen en is dus ook niet te herstellen wanneer je het kwijt bent. Ik vind de cloud backup naar Google geen goed idee vanwege de datahonger die men daar kent.

Je hebt het ook niet op de server van lastpass staan?
Dat heb ik wel!
 
Laatst bewerkt door een moderator:
Dat is best mogelijk, de problemen zijn met Firefox, en die gebruik ik toch niet.

Het tweede lek was alleen voor Firefox en het eerste lek ook voor Chrome.
Maar het belangrijkste is dan die allemaal dicht zijn en het dus weer veiliger is om te gebruiken :)
 
Met al deze onderzoeken wordt het een veiliger product. ik houd van de mensen die zulke dingen ethisch verantwoord doen! Daar hebben we echt wat aan in de digitale wereld!
 
Hij is goed bezig, want hij heeft alweer een lek gevonden.

Weer ernstig lek in wachtwoordmanager LastPass - update

Laatst bijgewerkt: Vandaag, 14:55
Google-onderzoeker Tavis Ormandy heeft weer een ernstig beveiligingslek in de wachtwoordmanager LastPass gevonden waardoor kwaadaardige websites de systemen van gebruikers kunnen overnemen. Vorige week ontdekte Ormandy ook al twee kwetsbaarheden die vervolgens werden gepatcht.
"Ik had een openbaring in de douche deze ochtend en besefte hoe ik in LastPass 4.1.43 code kon uitvoeren", aldus Ormandy op Twitter. Hij waarschuwde vervolgens LastPass, dat op de eigen website bevestigt dat het de melding heeft ontvangen en aan het onderzoeken is. LastPass 4.1.43 is de laatste versie van de wachtwoordmanager voor Google Chrome, die zo'n 5,7 miljoen gebruikers heeft. LastPass is een clouddienst waar gebruikers hun wachtwoorden voor allerlei websites in een 'kluis' kunnen opslaan. De gebruiker hoeft alleen een hoofdwachtwoord te onthouden om de opgeslagen wachtwoorden te gebruiken.
Update
LastPass heeft een reactie online gezet. Volgens de ontwikkelaars gaat het om een unieke en geraffineerde aanval. Er zal echter geen informatie over het probleem worden gedeeld totdat de patch beschikbaar is. Daarnaast bedanken de ontwikkelaars van LastPass Ormandy voor zijn werk om de wachtwoordmanager veiliger te maken. Afsluitend krijgen gebruikers het advies om websites direct vanuit LastPass te starten en waar mogelijk tweefactorauthenticatie in te schakelen.

--- Update ---

Hier een tijdelijk oplossing, om het veiliger te houden, tot de patch klaar is.

LastPass raadt na nieuw lek aan sites direct vanuit de Vault te openen
LastPass dicht een nieuw aangetroffen lek in zijn browserextensie. Het bedrijf raadt in aanloop naar het oplossen van het probleem aan om opgeslagen sites direct vanuit de lokaal opgeslagen LastPass Vault te openen en niet via autofill. Het lek is gevonden door een Google-onderzoeker.

De LastPass-extensie maakt het mogelijk wachtwoorden automatisch in te vullen bij verschillende diensten, maar LastPass raadt af dit te doen totdat een kwetsbaarheid in de code verholpen is. Gebruikers dienen in te loggen door naar de Vault te gaan en daar op de sites te klikken waar ze willen inloggen. Volgens de dienst is dit de veiligste manier. Autofill is uit te schakelen via de optie Automatically fill log-in information bij de voorkeuren.
 
Laatst bewerkt door een moderator:
Nu is het zo dat er bij Lastpass ook niemand bij je wachtwoorden kan hoor. Het hoofdwachtwoord wordt niet opgeslagen en is dus ook niet te herstellen wanneer je het kwijt bent. Ik vind de cloud backup naar Google geen goed idee vanwege de datahonger die men daar kent.

De KeePass database is encrypted dus Google cloud heeft geen toegang tot de gegevens.
 
Status
Niet open voor verdere reacties.
Steun Ons

Nieuwste berichten

Terug
Bovenaan