LastPass: Allvarlig sårbarhet öppnade för stöld av lösenord

LastPass är drabbad av en sårbarhet som gör att hackare kan stjäla användarnas lösenord. Inte det bästa sättet att marknadsföra en tjänst för att skapa och lagra mängder av lösenord, eller hur?

Det är ingenjören och forskaren Travis Ormandy på Google som först gick ut med nyheten om sårbarheten. Det var också han som först hittade den, tillsammans med en mängd andra som rapporterades direkt till LastPass för åtgärd.

LastPass har bekräftat sårbarheten och säger att den kommer från en experimentell funktion i tjänstens webbläsartillägg. En buggfix för att lösa sårbarheten är redan klar och släpptes via en uppdatering till alla användare innan nyheten blev publik.

— Vi ser inga indikationer på att den rapporterade sårbarheten användes, men vi gör just nu en omfattande genomgång för att bekräfta detta. Vi kommer snart att ge en mer detaljerad summering av händelserna, skriver LastPass i ett blogginlägg.

Travis Ormandy har tidigare rapporterat problem med LastPass. Förra året hittade han sårbarheter som fick honom att undra om någon faktiskt ville använda LastPass — och tacksamt nog arbetade han med tjänsten för att snabbt lösa alla problemen.


Lästips: Hackare hotar med att radera data på miljontals iPhone-telefoner


Och LastPass kör med full transparens för att tydliggöra allt mot sina användare. Vilket är ett mycket viktigt steg för att bygga ett förtroende. Tjänstens utvecklare har alltid varit mycket snabba med att täta alla sårbarheter som dykt upp, även det viktigt för att stärka förtroendet, och ett absolut måste om tjänsten ska leva vidare.

Även om det hittas en och annan sårbarhet så kan vi fortfarande rekommendera den här typen av tjänster. De är säkrare än att du ska använda samma lösenord på flera webbsajter och tjänster, och är förhållandevis smidiga för att skapa, lagra och snabbt hitta lösenorden igen.

Använder du LastPass? Eller kanske någon av konkurrenterna, 1Password och Dashlane? Skriv gärna en kommentera och berätta varför. Och om du inte använder någon av dem, så varför inte?