Passwortmanager Lastpass hatte kritische Sicherheitslücke
Dieser Artikel ist älter als ein Jahr!
Der Sicherheitsforscher Tavis Ormandy hat per Twitter von einer kritischen Sicherheitslücke beim Passwortmanager Lastpass berichtet. Durch diese soll es möglich gewesen sein, Passwörter, die im Passwort-Safe gespeichert sind, auszulesen.
Neben seinem Tweet hat Ormandy die Beschreibung des Problems auch an die Lastpass-Entwickler weiter gegeben. Laut Angaben des Sicherheitsforschers sei Lastpass auch schon dabei, an einer Lösung zu arbeiten.
Rascher Fix
In einem Blogeintrag erklärt der Sicherheitsforscher wenig später, dass das Problem in weniger als einem Tag, nachdem er die Firma davon in Kenntnis gesetzt hatte, bereits gefixt worden sei. Als Bug Bounty war dem Forscher eine Summe von 1000 US-Dollar versprochen worden.
In dem Blogeintrag erklärte Ormandy zudem, wie es ihm gelungen war, Passwörter auszuspionieren. Der Bug, den er gefunden hatte, erlaubte es ihm Passwörter mittels Autofill-Funktion zu extrahieren. Alles, was man dafür brauchte, war eine infizierte Website. Als nächstes will er sich den Passwortmanager 1Password genauer ansehen.
Usern empfiehlt der Experte dennoch, auf Passwortmanager zu setzen. „Diese sind noch immer viel besser als die Alternativen.“
Kommentare