LastPass

De back-upgegevens waren versleuteld, maar de aanvaller had ook de decryptiesleutels bemachtigd en kon de data zo ontsleutelen. Het gaat om namen, factuuradres, ...

Volgens LastPass kan de aanvaller nu proberen om het master password van gebruikers via een bruteforce-aanval te achterhalen, om zo de gestolen versleutelde kluisdata te ontsleutelen. LastPass biedt een wachtwoordmanager die gebruikers wachtwoorden in een "wachtwoordkluis" in de cloud laat opslaan. De aanvaller gebruikte deze informatie voor een aanval op een LastPass-medewerker, waarbij inloggegevens en keys werden verkregen waarmee kon worden ingelogd op een cloudomgeving waar LastPass back-ups van productiedata bewaart.

Er zijn in augustus 2022 geen klantgegevens buitgemaakt, maar wel iets anders. “Er zijn enkele broncodes en technische gegevens uit onze ontwikkelomgeving ...

Vandaar dat je maar betere het zekere voor het onzekere kunt nemen om je wachtwoord van LastPass, maar ook van al die bedrijven van wie je de wachtwoorden in je LP-account hebt staan, te wijzigen. Het is mogelijk om dit te controleren op de website van LastPass.” Desondanks blijven we erbij: beter voorkomen dan genezen en toch maar wel je wachtwoorden veranderen. Het bedrijf benadrukt nog maar eens dat LastPass nooit zal vragen op een link te klikken om je persoonlijke gegevens te verifiëren, of je nooit zal bellen of smsen met dat doel. Immers is het juist de enige functie van LastPass om te zorgen dat jouw wachtwoorden veilig blijven. Dat hoofdwachtwoord hebben de hackers niet kunnen ontfutselen, meent LastPass, maar het kan uiteraard wel. Het heeft helaas even geduurd voordat de app kon onderzoeken of er ook daadwerkelijk versleutelde wachtwoorden zijn buitgemaakt, maar dat blijkt wel het geval.

Wachtwoord manager LastPass werd in augustus slachtoffer van een cyberaanval. Met behulp van de buitgemaakte gegevens kreeg de aanvaller begin deze maand ...

Eind november ontdekte het bedrijf dat die informatie was gebruikt om “een andere werknemer” aan te vallen, waarbij gegevens en sleutels werden buitgemaakt waarmee de aanvaller een aantal opslagvolumes van LastPass in de cloud kon openen en decrypten. LastPass maakt gebruik van lokale clouddiensten, onder meer om te kunnen voldoen aan specifieke lokale eisen voor de opslag van gegevens. LastPass laat weten dat het in bepaalde gevallen al contact heeft opgenomen met gebruikers die een verhoogd risico zouden lopen. Dat zou onbegonnen werk moeten zijn, mits het wachtwoord voldoet aan de richtlijnen die het bedrijf voor een goed wachtwoord heeft opgesteld: Die data zijn alleen toegankelijk te maken met het Master Password dat alleen bij de gebruikers zelf bekend is. LastPass laat nu weten dat de aanvaller privacygevoelige gegevens heeft kunnen inzien.

Tijdens het datalek bij LastPass is toch serieuze privacygevoelige data van eindgebruikers gekopieerd. Wel zou deze data alsnog met 256-bit AES encryptie.

LastPass probeert in de update eindgebruikers gerust te stellen door aan te geven dat de ontvreemde versleutelde data nog steeds over 256-bit AES-encryptie beschikt. Het betekent dat de hacker een kopie van de volledig versleutelde wachtwoordkluizen heeft gemaakt. Daarnaast werd een back-up gekopieerd met de ‘kluisdata’ van klanten uit de versleutelde storage container.