Lastpass

Inbraak bij LastPass groter dan gedacht: wachtwoordkluizen gelekt

De wachtwoordenapp LastPass is voor de tweede keer in korte tijd getroffen door een datalek. Hackers zouden toegang hebben gekregen tot 'bepaalde klantgegevens'. Na weken van stilte geeft LastPass eindelijk meer duidelijkheid.

Update 28 februari 2023: LastPass zegt dat de thuiscomputer van een medewerker is gehackt, waarbij wachtwoordkluizen van het bedrijf zijn gestolen. Deze niet-versleutelde kluis was alleen beschikbaar voor een handjevol ontwikkelaars van LastPass. De diefstal zou tussen 12 en 26 augustus 2022 hebben plaatsgevonden. Daarbij stal een onbekende dief inloggegevens van een ervaren DevOps-engineer en kreeg toegang tot de inhoud van een LastPass-datakluis. Deze kluis gaf toegang tot een gedeelde cloud-opslag waarin de encryptiesleutels van wachtwoordkluizen van klanten waren opgeslagen. Slechts vier LastPass-medewerkers zouden toegang hebben gehad tot de kluis.


Update 29 december 2022: Volgens LastPass kost het miljoenen jaren om het master password van een gebruiker te achterhalen. Maar concurrent 1Password zegt dat accounts voor rond $100 gehackt kunnen worden. 1Password reageert daarmee op het grote datalek, dat afgelopen zomer plaatsvond. In een blogposting legt hoofd security-architect Jeffrey Goldberg uit hoe belangrijk het gebruik van machine-gegenereerde wachtwoorden is, in plaats van wachtwoorden die door mensen zijn bedacht. Volgens Goldberg kunnen ze in minder dan 10 miljard pogingen worden achterhaald en dat kost rond de $100. Het is slecht nieuws voor de gemiddelde gebruiker, die vaak ene wat korter en minder complex wachtwoord kiest als master password. Uiteraard vindt 1Password dat ze een betere oplossing hebben, in de vorm van een Secret Key. 1Password heeft wel een streepje voor: ze zijn nog nooit in het nieuws geweest vanwege een datalek, maar zijn er wel op voorbereid als het een keer gebeurt.

Update 23 december 2022: Vlak voor de kerst neemt LastPass de moeite om gebruikers te informeren over het datalek van afgelopen augustus. De situatie blijkt ernstiger dan gedacht. LastPass zegt dat hackers een grote hoeveelheid persoonlijke informatie van klanten in handen hebben gekregen. Ook de wachtwoordkluizen zijn gelekt, al is de inhoud wel cryptografisch versleuteld. Het is nogal een escalatie ten opzichte van afgelopen augustus, toen LastPass sprak over het “stelen van bepaalde broncode en wat technische informatie van LastPass zelf”. Wachtwoorden en persoonlijke informatie van klanten zouden niet in gevaar zijn geweest. Maar dat blijkt nu toch het geval.

In een update legt het bedrijf uit dat hackers persoonlijke informatie en gerelateerde metadata in handen hebben gekregen. Het gaat hier om bedrijfs- en persoonsnamen, factuuradressen, e-mailadressen, telefoonnummers en IP-adressen waarmee gebruikers toegang hadden tot LastPass. De hackers kopieerden ook een backup van de wachtwoordkluizen van gebruikers. Deze bevatten niet-versleutelde data zoals de url’s van websites die je bezoekt en versleutelde datavelden zoals gebruikersnamen en wachtwoorden, beveiligde notities en gegevens die je in formulieren invult.

LastPass belooft dat ze met 256-bit AES-encryptie zijn versleuteld en dat ze dankzij de geavanceerde Zero Knowledge-architectuur goed zijn beschermd, zodat LastPass ze zelf op geen enkele manier kan achterhalen. De unieke sleutel die nodig is, is alleen te achterhalen als je het master password weet. Het goede nieuws is dat LastPass de creditcardgegevens van gebruikers in een heel andere cloudopslag bewaart en deze systemen zijn niet gehackt.

LastPass wilde niet zeggen hoeveel klanten zijn getroffen. Ben je LastPass-gebruiker, dan is de meest zekere oplossing om je master password te wijzigen en alle wachtwoorden die je in je kluis bewaart. Daarnaast moet je extra alert zijn op phishing-mailtjes. Het kan voor veel mensen wel een reden zijn om naar een alternatief te zoeken, nu het bedrijf tot drie maal toe is getroffen door een hack: eerst in 2015, daarna in 2021 en nu weer in 2022. Gelukkig zijn er genoeg wachtwoordenapps die niet in het nieuws zijn vanwege hackers.

Hieronder volgt ons oorspronkelijke artikel van 1 december 2022.

Alweer een inbraak bij LastPass

LastPass zegt niet wat voor gegevens konden worden ingezien. De hackers kregen toegang dankzij gegevens die waren buitgemaakt bij een eerdere hack. Afgelopen augustus lukte het een hacker om toegang te krijgen tot de systemen van het bedrijf door het account van een ontwikkelaar te gebruiken. Daarbij werd broncode en andere technische informatie gestolen, maar er werden geen klantgegevens gelekt. Nu is dat wel het geval. Het bedrijf kwam de hack op het spoor door ongebruikelijke activiteit bij de cloudopslagdienst van een externe partij. Al snel bleek dat een onbevoegde persoon zich toegang had verschaft tot bepaalde klantgegevens.

Volgens LastPass zijn de wachtwoorden veilig versleuteld en worden er geen decryptiesleutels op de servers opgeslagen. LastPass hanteert hiervoor de term Zero Knowledge-architectuuur. Het bedrijf is ondertussen bezig om samen met beveiligingsbedrijf Mandiant onderzoek te doen wat er nu eigenlijk is gebeurd en hoe groot de schade is. Ondertussen blijven de systemen gewoon operationeel en kun je je wachtwoorden gewoon opslaan en raadplegen. Overigens was er in december 2021 ook nog een LastPass-lek, dat later door het bedrijf werd ontkend. Het zou gaan om een fout in het waarschuwingssysteem.

LastPass Freemium

Op zoek naar een alternatief? Er zijn meerdere wachtwoordenapps waar je je toevlucht kunt zoeken en er is ook altijd nog iCloud Sleutelhanger van Apple zelf.

Bekijk ook
De beste wachtwoordenapps voor iPhone en iPad

De beste wachtwoordenapps voor iPhone en iPad

Voor elke dienst een ander wachtwoord aanmaken is verstandig, maar deze allemaal onthouden is een heel karwei. Met deze wachtwoordapps voor iPhone en iPad kun je al je wachtwoorden veilig opslaan.

Revisiegeschiedenis:

  • 2022 - 23 december: Update in artikel gezet n.a.v. uitleg van LastPass dat ook wachtwoordkluizen van gebruikers in verkeerde handen zijn gevallen.

Reacties: 22 reacties

Reacties zijn gesloten voor dit artikel.