Gebruikers van Lastpass liepen risico op de sabotage van hun account door een bug in de add-on voor Firefox. De ontwikkelaar van de wachtwoordmanager heeft ondertussen een patch geprepareerd die het gevaar moet neutraliseren. Deze wordt uitgestuurd naar de getroffen gebruikers.
De kwetsbaarheid in de software werd boven water gebracht door Google-medewerker Tavis Ormandy, die een reputatie heeft uitgebouwd als veiligheidsonderzoeker met een neus voor gevaarlijke lekken. Hij bracht een jaar geleden zero day-bugs bij securitybedrijven Kasperksy en FireEye aan het licht. Gisteren had LastPass nog geen antwoord klaar voor het lek dat Ormandy onthulde, ondertussen heeft het bedrijf zich uitgesproken via een blogbericht.
Het bedrijf bevestigde dat hackers het Lastpass-account van gebruikers konden manipuleren door deze naar een kwaadaardige website te lokken. Dit bleek dus alleen te gelden voor personen die via Mozilla Firefox surften en daarop de add-on versie 4.0 van Lastpass hadden geïnstalleerd. De update die het lek opruimt wordt op dit moment uitgerold, maar gebruikers van LastPass kunnen deze ook rechtstreeks downloaden vanop de website van de ontwikkelaar.