Det ble nylig oppdaget et sikkerhetshull i den populære passordtjenesten LastPass som la til rette for at uvedkommende kunne få tilgang til brukernes passord. Det melder nettstedet ZDNet.
Sårbarheten ble avdekket av Googles Project Zero-team, som formidlet funnet videre til LastPass. Saken omtales på passordtjenestens egen blogg.
Kan hente ut passord via andre nettsider
Hackere kan utnytte sikkerhetshullet ved å lure bruke til å besøke nettsider med ondsinnet JavaScript-kode, som kan hente ut det siste passordet lagret hos LastPass som brukeren benyttet på nettet.
Passordtjenesten sier de kastet seg rundt for å få plass en fiks straks de mottok rapporten fra Google, og problemet skal nå være tatt hånd om. Sårbarheten skal kun omfatte tjenestens nettleserutvidelser til Chrome og Opera, men for sikkerhets skyld ble fiksen sluppet til samtlige nettlesere.
Oppdateringen som reparerer feilen er automatisk, men dersom man ikke har automatiske oppdateringer aktivert i LastPass-utvidelsen er det tilrådelig å foreta en manuell oppdatering så raskt som mulig.
Ikke første gang
LastPass er en av de aller mest populære passordadministratorene og fungerer ved å lagre passordene kryptert på nettet og fylle dem inn for brukeren når man besøker ulike nettsider. Brukeren trenger kun å huske et masterpassord.
Dette er for øvrig ikke første gang at LastPass har opplevd sikkerhetsglipper, og lignende sårbarheter er blitt avslørt tidligere. I 2016 rapporterte digi.no at tjenesten hadde et hull som gjorde det mulig for ondsinnede å avsløre en LastPass-brukers passord til vilkårlige nettsteder når brukeren besøker en spesielt utformet webside.
I 2017 ble det dessuten meldt om kritiske LastPass-sårbarheter som gjorde det mulig for hackere å hente ut lagrede brukernavn og passord via scriptkode på en nettside, og å kjøre binærkode på offerets datamaskin.
Les også: Eksperter: Slik sporer hackere deg gjennom SIM-kortet »