Het gaat om de wachtwoordmanagers LastPas, RoboForm, My1login, PasswordBox en NeedMyPassword. Het hele onderzoek is hier te lezen.
Jaar oud
Het lek werd door de universiteit in de zomer vorig jaar al ontdekt, maar de onderzoekers hielden het stil tot nu. Ze gingen daarvoor eerst naar de makers van de wachtwoordmanagers toe om hen de kans te geven de lekken te dichten. Eén van de bedrijven (NeedMyPassword) heeft daar nooit iets mee gedaan. De anderen, waaronder LastPass, hebben snel gereageerd en de kwetsbaarheden gerepareerd.
Misbruik? Het is niet bekend of kwaadwillenden ook werkelijk misbruik hebben gemaakt van het lek, dat tot het onderzoek niet algemeen bekend was. Het is echter wel aan te raden om al je wachtwoorden te veranderen als je LastPass of één van de andere password-managers gebruikte voor de zomer van 2013.
Bookmark
Eén van de kwetsbaarheden zat in de bookmark van LastPass. Veel mensen gebruiken zo’n bookmark (‘Favoriet’) om snel bij hun wachtwoorden te kunnen komen. De bookmark laadt echter javascript, die wordt uitgevoerd op de website waar de gebruik zich bevindt. Op die manier kan de inbreker de gebruikte wachtwoorden bijvoorbeeld laten doorsturen naar zijn eigen server.
Niet feilloos
Het lek geeft maar weer eens aan dat ook het gebruik van wachtwoordmanagers niet feilloos is. Juist door al je wachtwoorden op één plek op te slaan, worden ze een gewild doelwit voor hackers. Ook is één kwetsbaarheid genoeg om al je wachtwoorden kwijt te raken.