Wachtwoordbeheerders Leiden Gegevensverlies bij Nieuwe Clickjacking Aanval

Image by Volodymyr Kondriianenko, from Unsplash

Wachtwoordbeheerders Leiden Gegevensverlies bij Nieuwe Clickjacking Aanval

Leestijd: 2 minuut

Laatst bijgewerkt: Aug 21, 2025

Een nieuwe studie waarschuwt dat miljoenen gebruikers van wachtwoordmanagers kwetsbaar kunnen zijn voor een gevaarlijke browser-exploit genaamd “DOM-gebaseerde Extension Clickjacking”.

Haast? Hier zijn de snelle feiten:

  • Aanvallers kunnen gebruikers misleiden om gegevens automatisch in te vullen met één valse klik.
  • Gelekte gegevens bevatten creditcards, inloggegevens en zelfs tweefactorcodes.
  • 32,7 miljoen gebruikers blijven blootgesteld omdat sommige leveranciers de fouten niet hebben hersteld.

De onderzoeker achter de bevindingen legde uit: “Clickjacking is nog steeds een veiligheidsdreiging, maar het is noodzakelijk om over te stappen van webapplicaties naar browserextensies, die tegenwoordig populairder zijn (wachtwoordbeheerders, crypto wallets en anderen).”

De aanval werkt door gebruikers te misleiden om op valse elementen te klikken, waaronder cookiebanners en captcha-pop-ups, terwijl een onzichtbaar script stiekem de autofill-functie van de wachtwoordmanager inschakelt. De onderzoekers leggen uit dat de aanvallers slechts één klik nodig hadden om gevoelige informatie te stelen.

“Een enkele klik op een door de aanvaller gecontroleerde website zou aanvallers in staat kunnen stellen om gebruikersgegevens te stelen (creditcardgegevens, persoonlijke gegevens, inloggegevens inclusief TOTP),” vermeldt het rapport.

De onderzoeker heeft 11 populaire wachtwoordbeheerders getest, waaronder 1Password, Bitwarden, Dashlane, Keeper, LastPass en iCloud-wachtwoorden. De resultaten waren verontrustend: “Alle waren kwetsbaar voor ‘DOM-gebaseerde Extension Clickjacking’. Tientallen miljoenen gebruikers zouden risico kunnen lopen (~40 miljoen actieve installaties).”

De tests toonden aan dat zes van de negen wachtwoordbeheerders creditcardgegevens blootstelden, terwijl acht van de tien managers persoonlijke informatie lekten. Bovendien stonden tien van de elf beheerders toe dat aanvallers opgeslagen inloggegevens stelen. In sommige gevallen konden zelfs tweefactorauthenticatiecodes en toegangssleutels worden gecompromitteerd.

Hoewel leveranciers in april 2025 werden gewaarschuwd, merken de onderzoekers op dat sommigen van hen, zoals Bitwarden, 1Password, iCloud Passwords, Enpass, LastPass en LogMeOnce, de fouten nog niet hebben hersteld. Dit is bijzonder verontrustend omdat het naar schatting 32,7 miljoen gebruikers blootstelt aan deze aanval.

De onderzoekers concludeerden: “De beschreven techniek is algemeen en ik heb het alleen getest op 11 wachtwoordbeheerders. Andere extensies die de DOM manipuleren, zijn waarschijnlijk kwetsbaar (wachtwoordbeheerders, crypto wallets, notities, enz.).”

Vond je dit artikel leuk?
Geef een beoordeling!
Ik vond het verschrikkelijk Ik vond het echt niet leuk Het was redelijk Best goed! Ik vond het geweldig!

We zijn erg blij dat je van ons werk hebt genoten!

Zou je als gewaardeerde lezer je mening over ons willen delen op Trustpilot? Dit neemt niet veel tijd in beslag en zouden we erg op prijs stellen. Bedankt, je bent geweldig!

Beoordeel ons op Trustpilot
0 Gestemd door 0 gebruikers
Titel
Reactie
Bedankt voor je feedback