“Lastpass” ist ein Dienst zur Kennwortverwaltung. Der Dienst ist plattformunabhägig und bietet beispielsweise Plugins für alle gängigen Browser, um eine simple Verwaltung von Passwörtern zu ermöglichen. Natürlich ist der reibungslose und zugleich sichere Umgang mit Daten in diesem Bereich von besonderer Wichtigkeit, um den Benutzern ein Maximum an Benutzerkomfort und Sicherheit bieten zu können.
Lastpass.com bietet, wie einige andere Unternehmen auch, die Möglichkeit des “responsible disclosures” zur Meldung von Sicherheitshinweisen an. Die Entdecker werden für das Einhalten dieses Prinzips mit einem Eintrag in der dazugehörigen Hall of Fame belohnt.
Wir fanden auf einer Subdomain eine Open Redirection, sowie eine Full Path Disclosure Lücke und schrieben daraufhin am 02.05.13 eine Email an das zuständige Security Team. Die Full Path Disclosure ergab sich dadurch, dass in PHP die header()-Anweisung in neueren Versionen Zeilenumbrüche verhindert und stattdessen eine Fehlermeldung ausgibt. Somit war Header Injection nicht möglich, dennoch konnte man den Pfad zur ausgeführten Datei ablesen.
Wir erhielten innerhalb einer Stunde eine Antwort, dass unsere Hinweise gültig seien und man diesen nachgehe. Diese schnelle Reaktion ist sehr erfreulich, da die meisten Unternehmen oft mehr Reaktionszeit benötigen und das Verhalten von LastPass zeigt, dass den Entwicklern viel an der Sicherheit der Nutzer liegt.
Nachdem die Probleme behoben wurden, fragte man nach der Erlaubnis uns in der Hall of Fame einzutragen, dieses Angebot nahmen wir natürlich gern an.
Wir freuen uns das Internet wieder einmal etwas sicherer gemacht zu haben und wünschen weiterhin viel Spaß bei einer sicheren Nutzung von LastPass.com!
Das Team der Internetwache.org
Screenshots
