LastPass

2022 - 12 - 23

Post cover
Image courtesy of "RTL Nieuws"

Hackers stalen versleutelde wachtwoorden bij LastPass (RTL Nieuws)

Hackers blijken bij een aanval afgelopen zomer de versleutelde wachtwoorden van gebruikers van de populaire wachtwoordmanager LastPass te hebben ...

LastPass waarschuwt klanten ook dat ze het doelwit kunnen worden van social engineering en pogingen tot phishing. Het bedrijf zegt vanwege de hackaanval ook zijn 'hele ontwikkelomgeving' opnieuw op te bouwen. Destijds meldde LastPass dat er broncode en technische informatie was gestolen en dat de hackers geen gegevens van klanten of wachtwoorden hadden bemachtigd. Maar als gebruikers een sterk hoofdwachtwoord hebben ingesteld, zou dat raden volgens het bedrijf 'miljoenen jaren duren'. Die zijn echter alleen te ontsleutelen met het hoofdwachtwoord dat de gebruiker heeft aangemaakt. Later bleek dat de hackers toch gebruikersnamen, adressen, telefoonnummers, e-mailadressen en IP-adressen hadden buitgemaakt.

Post cover
Image courtesy of "NU.nl"

Hackers maakten toch versleutelde wachtwoorden buit bij aanval op ... (NU.nl)

Hackers die afgelopen zomer gegevens van wachtwoordbeheerder LastPass hebben gestolen, hebben ook versleutelde wachtwoorden buitgemaakt.

Versleutelde wachtwoorden LastPass-gebruikers gestolen uit ... (Security.nl)

De back-upgegevens waren versleuteld, maar de aanvaller had ook de decryptiesleutels bemachtigd en kon de data zo ontsleutelen. Het gaat om namen, factuuradres, ...

Volgens LastPass kan de aanvaller nu proberen om het master password van gebruikers via een bruteforce-aanval te achterhalen, om zo de gestolen versleutelde kluisdata te ontsleutelen. LastPass biedt een wachtwoordmanager die gebruikers wachtwoorden in een "wachtwoordkluis" in de cloud laat opslaan. De aanvaller gebruikte deze informatie voor een aanval op een LastPass-medewerker, waarbij inloggegevens en keys werden verkregen waarmee kon worden ingelogd op een cloudomgeving waar LastPass back-ups van productiedata bewaart.

Post cover
Image courtesy of "DutchCowboys"

​LastPass-gebruiker? Verander nu al je opgeslagen wachtwoorden (DutchCowboys)

Er zijn in augustus 2022 geen klantgegevens buitgemaakt, maar wel iets anders. “Er zijn enkele broncodes en technische gegevens uit onze ontwikkelomgeving ...

Vandaar dat je maar betere het zekere voor het onzekere kunt nemen om je wachtwoord van LastPass, maar ook van al die bedrijven van wie je de wachtwoorden in je LP-account hebt staan, te wijzigen. Het is mogelijk om dit te controleren op de website van LastPass.” Desondanks blijven we erbij: beter voorkomen dan genezen en toch maar wel je wachtwoorden veranderen. Het bedrijf benadrukt nog maar eens dat LastPass nooit zal vragen op een link te klikken om je persoonlijke gegevens te verifiëren, of je nooit zal bellen of smsen met dat doel. Immers is het juist de enige functie van LastPass om te zorgen dat jouw wachtwoorden veilig blijven. Dat hoofdwachtwoord hebben de hackers niet kunnen ontfutselen, meent LastPass, maar het kan uiteraard wel. Het heeft helaas even geduurd voordat de app kon onderzoeken of er ook daadwerkelijk versleutelde wachtwoorden zijn buitgemaakt, maar dat blijkt wel het geval.

Post cover
Image courtesy of "AG Connect"

LastPass datalek update: klantgegevens bekend (AG Connect)

Wachtwoord manager LastPass werd in augustus slachtoffer van een cyberaanval. Met behulp van de buitgemaakte gegevens kreeg de aanvaller begin deze maand ...

Eind november ontdekte het bedrijf dat die informatie was gebruikt om “een andere werknemer” aan te vallen, waarbij gegevens en sleutels werden buitgemaakt waarmee de aanvaller een aantal opslagvolumes van LastPass in de cloud kon openen en decrypten. LastPass maakt gebruik van lokale clouddiensten, onder meer om te kunnen voldoen aan specifieke lokale eisen voor de opslag van gegevens. LastPass laat weten dat het in bepaalde gevallen al contact heeft opgenomen met gebruikers die een verhoogd risico zouden lopen. Dat zou onbegonnen werk moeten zijn, mits het wachtwoord voldoet aan de richtlijnen die het bedrijf voor een goed wachtwoord heeft opgesteld: Die data zijn alleen toegankelijk te maken met het Master Password dat alleen bij de gebruikers zelf bekend is. LastPass laat nu weten dat de aanvaller privacygevoelige gegevens heeft kunnen inzien.

Post cover
Image courtesy of "Techzine.nl"

LastPass: “Toch gebruikersdata gekopieerd bij recent datalek” (Techzine.nl)

Tijdens het datalek bij LastPass is toch serieuze privacygevoelige data van eindgebruikers gekopieerd. Wel zou deze data alsnog met 256-bit AES encryptie.

LastPass probeert in de update eindgebruikers gerust te stellen door aan te geven dat de ontvreemde versleutelde data nog steeds over 256-bit AES-encryptie beschikt. Het betekent dat de hacker een kopie van de volledig versleutelde wachtwoordkluizen heeft gemaakt. Daarnaast werd een back-up gekopieerd met de ‘kluisdata’ van klanten uit de versleutelde storage container.

Post cover
Image courtesy of "Dutch IT-channel"

LastPass: Aanvallers maakten toch wachtwoordkluizen buit | Dutch ... (Dutch IT-channel)

Na een security-incident in augustus is veel meer buitgemaakt dan eerst gedacht, geeft de wachtwoordbeheerder nu toe.

De aanvallers zouden de initiële productiedata hebben gebruikt om een phishingaanval uit te voeren op een medewerker van het bedrijf, en zo sleutels en toegangstokens hebben gevonden om meer gegevens te stelen. "Deze versleutelde velden blijven beveiligd met een 256-bit AES encryptie en kunnen alleen ontsleuteld worden met een unieke sleutel afgeleid van het master password van elke gebruiker", aldus Toubba. Het bedrijf was er toen snel bij om te melden dat er geen klantendata was gelekt.

Post cover
Image courtesy of "Computable"

Lastpass-kluizen en klantgegevens toch gehackt (Computable)

Het is criminelen toch gelukt om klantgegevens en data in de wachtwoordkluizen van Lastpass te ontvreemden. De informatie in de kluizen is echter ...

En dus adviseert Lastpass zijn klanten om alert te zijn op [phishing](https://www.computable.nl/keyword/phishing/2379816/artikelen.html) e-mailberichten en telefoonoproepen en het hoofdwachtwoord nooit te delen. Als de criminelen ook het hoofdwachtwoord achterhalen, kunnen ze de gegevens in de back-up ontsleutelen. [meldt het bedrijf](https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/) nu.

Explore the last week