Menü
Alert!

Sicherheitsforscher entlockt Passwortmanager LastPass Kennwörter

Mit einem Update haben die Entwickler von LastPass ein Datenleck geschlossen, über das Passwörter hätten abfließen könnten.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 30 Beiträge

(Bild: Artur Szczybylo/Shutterstock.com)

Von

Googles bekannter Sicherheitsforscher Tavis Ormandy hat gezeigt, wie eine beliebige Website dem Passwort-Manager LastPass mit etwas Trickserei das letzte verwendete Passwort einer anderen Seite entlocken konnte. Mittlerweile haben die Entwickler das Sicherheitsproblem gelöst und die Ausgabe 4.33.0 ist abgesichert.

Damit das klappt, hätten Angreifer Opfer auf eine präparierte Website locken und es dazu bringen müssen, Elemente anzuklicken (Clickjacking). Log-in-Daten einer vorher besuchten Seite hätten leaken können, weil LastPass den Tab-Credential-Cache nicht aktualisiert hat. In einem Beitrag beschreibt Ormandy im Detail, wie das funktionierte. (des)