Een onderzoeker heeft een phishingaanval op de online wachtwoordkluis LastPass onthuld waarmee een aanvaller het e-mailadres, het wachtwoord en zelfs de twee-factor authenticatiecode van gebruikers kan achterhalen, om vervolgens toegang tot wachtwoorden en documenten in de digitale kluis te krijgen. Dat meldt security.nl.

LastPass is een zogenoemde cloud-dienst waarmee wachtwoorden voor bijvoorbeeld websites in een digitale kluis kunnen worden opgeslagen. De gebruiker hoeft alleen het wachtwoord te onthouden om zijn ‘kluis’ te kunnen openen. Onlangs heeft echter de onderzoeker Sean Cassidy een methode bedacht om deze wachtwoorden te achterhalen. Die methode is gebaseerd op het feit dat LastPass berichten in de browser toont die aanvallers vervolgens kunnen namaken. Zo kan het gebeuren dat gebruikers onbewust hun wachtwoord invoeren op een door criminelen nagemaakte website.
Cassidy heeft LastPass op de hoogte gesteld van de kwetsbaarheid, maar het bedrijf reageerde volgens hem niet adequaat. Daarom heeft hij zijn methode uit de doeken gedaan, tijdens een conferentie. Eenvoudig is zijn aanval niet, maar zeker nu hij zijn methode openbaar heeft gemaakt, is het zeer de vraag of vertrouwen in LastPass nog gerechtvaardigd is. Oplettende gebruikers kunnen het zien als zij naar een criminele website worden geleid, maar de gemiddelde gebruiker zal volgens Cassidy niets in de gaten hebben.