Wachtwoordbeveiliging voor internetdiensten is nieuws, en dat zou het niet moeten zijn. Enkele recente voorbeelden zijn de veronderstelde het hacken van duizenden iCloud-accounts, met weinig geloofwaardigheid overigens of honderden Evernote- of Dropbox-wachtwoorden. De beste aanbeveling om onvoorziene gebeurtenissen te vermijden, is om de wachtwoorden van onze diensten met enige ijver te wijzigen.
Afgelopen weekend de wachtwoordservice LastPass, een kwetsbaarheid in uw systeem ontdekt. Het wordt gewaardeerd dat u het probleem erkent en gebruikers waarschuwt met maatregelen om een groter kwaad te voorkomen. Af en toe hebben we van deze fouten gehoord van derden, en dit mag niet gebeuren.
LastPass raadt aan om bepaalde voorzorgsmaatregelen te nemen tijdens het werken aan de definitieve sluiting van de kwetsbaarheid. Sommige aanbevelingen zijn algemeen en daarom moet elke gebruiker van de LastPass-service of een andere service rekening houden. Een ervan is in het bijzonder ontworpen om te voorkomen dat de ontdekte kwetsbaarheid zijn gebruikers treft. Het bedrijf raadt u aan deze stappen te volgen:
Gebruik de LastPass-kluis als startplatform (dat wil zeggen, start de service rechtstreeks vanuit de LastPass-kluis). Dit is de veiligste manier om toegang te krijgen tot uw inloggegevens en sites totdat deze kwetsbaarheid is opgelost.
Het bedrijf zal, zodra het de oorsprong van de kwetsbaarheid heeft bestudeerd, de details onthullen en pas daarna communiceren dat de kwetsbaarheid volledig is gesloten. Tot dusver is bekend dat de aanval een zeer geavanceerd systeem heeft gebruikt.
De oorsprong lijkt in de browser te liggen Google Chrome, maar een andere vermelding is niet uitgesloten. Het nieuws werd bekendgemaakt door een Google-analist. Het bedrijf maakte de aanval openbaar met de volgende opmerking:
In het weekend, de beveiligingsonderzoeker van Google Tavis ormandy meldde een nieuwe kwetsbaarheid van de client in de service-extensie LastPass. We pakken kwetsbaarheid nu actief aan. Deze aanval is uniek en zeer geavanceerd. We willen niets specifieks onthullen over de kwetsbaarheid of onze oplossing die onderzoeken zou kunnen onthullen, met ernstige gevolgen.