Tavis Ormandy, de onderzoeker die eerder lekken in verschillende antiviruspakketten vond, heeft nog geen details van het lek gepubliceerd.
Hij zegt op Twitter enkel dat het gaat een ernstig lek dat op afstand te misbruiken is. Voor zo ver bekend is er nog geen misbruik gemaakt van het lek.
Een onderzoeker van Detectify schrijft woensdag dat hij ook een lek in LastPass heeft gevonden, dat door malafide websites kon worden misbruikt om de inloggegevens van een andere site op te vragen. Daarvoor moest in LastPass wel worden ingesteld dat wachtwoorden automatisch worden ingevuld.
Dit lek is inmiddels opgelost door LastPass en lijkt niet gerelateerd aan het probleem dat werd gevonden door Ormandy.
Beveiliging
LastPass kan, net als vergelijkbare apps als 1Password en KeePass, de wachtwoorden van een gebruiker opslaan. Deze zijn vervolgens toegankelijk met één moeilijk te raden ‘meesterwachtwoord’.
Wachtwoordmanagers als LastPass worden door veel mensen gezien als een goede beveiligingsmaatregel, omdat gebruikers ervan niet meer hoeven te vertrouwen op wachtwoorden die makkelijk onthouden kunnen worden. Maar als een wachtwoordmanager zelf wordt gehackt, zouden veel wachtwoorden tegelijk op straat kunnen komen.