Update 28 februari 2023: LastPass zegt dat de thuiscomputer van een medewerker is gehackt, waarbij wachtwoordkluizen van het bedrijf zijn gestolen. Deze niet-versleutelde kluis was alleen beschikbaar voor een handjevol ontwikkelaars van LastPass. De diefstal zou tussen 12 en 26 augustus 2022 hebben plaatsgevonden. Daarbij stal een onbekende dief inloggegevens van een ervaren DevOps-engineer en kreeg toegang tot de inhoud van een LastPass-datakluis. Deze kluis gaf toegang tot een gedeelde cloud-opslag waarin de encryptiesleutels van wachtwoordkluizen van klanten waren opgeslagen. Slechts vier LastPass-medewerkers zouden toegang hebben gehad tot de kluis.
Update 29 december 2022: Volgens LastPass kost het miljoenen jaren om het master password van een gebruiker te achterhalen. Maar concurrent 1Password zegt dat accounts voor rond $100 gehackt kunnen worden. 1Password reageert daarmee op het grote datalek, dat afgelopen zomer plaatsvond. In een blogposting legt hoofd security-architect Jeffrey Goldberg uit hoe belangrijk het gebruik van machine-gegenereerde wachtwoorden is, in plaats van wachtwoorden die door mensen zijn bedacht. Volgens Goldberg kunnen ze in minder dan 10 miljard pogingen worden achterhaald en dat kost rond de $100. Het is slecht nieuws voor de gemiddelde gebruiker, die vaak ene wat korter en minder complex wachtwoord kiest als master password. Uiteraard vindt 1Password dat ze een betere oplossing hebben, in de vorm van een Secret Key. 1Password heeft wel een streepje voor: ze zijn nog nooit in het nieuws geweest vanwege een datalek, maar zijn er wel op voorbereid als het een keer gebeurt.
Update 23 december 2022: Vlak voor de kerst neemt LastPass de moeite om gebruikers te informeren over het datalek van afgelopen augustus. De situatie blijkt ernstiger dan gedacht. LastPass zegt dat hackers een grote hoeveelheid persoonlijke informatie van klanten in handen hebben gekregen. Ook de wachtwoordkluizen zijn gelekt, al is de inhoud wel cryptografisch versleuteld. Het is nogal een escalatie ten opzichte van afgelopen augustus, toen LastPass sprak over het “stelen van bepaalde broncode en wat technische informatie van LastPass zelf”. Wachtwoorden en persoonlijke informatie van klanten zouden niet in gevaar zijn geweest. Maar dat blijkt nu toch het geval.
In een update legt het bedrijf uit dat hackers persoonlijke informatie en gerelateerde metadata in handen hebben gekregen. Het gaat hier om bedrijfs- en persoonsnamen, factuuradressen, e-mailadressen, telefoonnummers en IP-adressen waarmee gebruikers toegang hadden tot LastPass. De hackers kopieerden ook een backup van de wachtwoordkluizen van gebruikers. Deze bevatten niet-versleutelde data zoals de url’s van websites die je bezoekt en versleutelde datavelden zoals gebruikersnamen en wachtwoorden, beveiligde notities en gegevens die je in formulieren invult.
LastPass belooft dat ze met 256-bit AES-encryptie zijn versleuteld en dat ze dankzij de geavanceerde Zero Knowledge-architectuur goed zijn beschermd, zodat LastPass ze zelf op geen enkele manier kan achterhalen. De unieke sleutel die nodig is, is alleen te achterhalen als je het master password weet. Het goede nieuws is dat LastPass de creditcardgegevens van gebruikers in een heel andere cloudopslag bewaart en deze systemen zijn niet gehackt.
LastPass wilde niet zeggen hoeveel klanten zijn getroffen. Ben je LastPass-gebruiker, dan is de meest zekere oplossing om je master password te wijzigen en alle wachtwoorden die je in je kluis bewaart. Daarnaast moet je extra alert zijn op phishing-mailtjes. Het kan voor veel mensen wel een reden zijn om naar een alternatief te zoeken, nu het bedrijf tot drie maal toe is getroffen door een hack: eerst in 2015, daarna in 2021 en nu weer in 2022. Gelukkig zijn er genoeg wachtwoordenapps die niet in het nieuws zijn vanwege hackers.
Hieronder volgt ons oorspronkelijke artikel van 1 december 2022.
Alweer een inbraak bij LastPass
LastPass zegt niet wat voor gegevens konden worden ingezien. De hackers kregen toegang dankzij gegevens die waren buitgemaakt bij een eerdere hack. Afgelopen augustus lukte het een hacker om toegang te krijgen tot de systemen van het bedrijf door het account van een ontwikkelaar te gebruiken. Daarbij werd broncode en andere technische informatie gestolen, maar er werden geen klantgegevens gelekt. Nu is dat wel het geval. Het bedrijf kwam de hack op het spoor door ongebruikelijke activiteit bij de cloudopslagdienst van een externe partij. Al snel bleek dat een onbevoegde persoon zich toegang had verschaft tot bepaalde klantgegevens.
Volgens LastPass zijn de wachtwoorden veilig versleuteld en worden er geen decryptiesleutels op de servers opgeslagen. LastPass hanteert hiervoor de term Zero Knowledge-architectuuur. Het bedrijf is ondertussen bezig om samen met beveiligingsbedrijf Mandiant onderzoek te doen wat er nu eigenlijk is gebeurd en hoe groot de schade is. Ondertussen blijven de systemen gewoon operationeel en kun je je wachtwoorden gewoon opslaan en raadplegen. Overigens was er in december 2021 ook nog een LastPass-lek, dat later door het bedrijf werd ontkend. Het zou gaan om een fout in het waarschuwingssysteem.
Op zoek naar een alternatief? Er zijn meerdere wachtwoordenapps waar je je toevlucht kunt zoeken en er is ook altijd nog iCloud Sleutelhanger van Apple zelf.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Het laatste nieuws over Apple van iCulture
- AI gebruiken met de iPhone 3GS? Met deze app lukt het (11-04)
- WhatsApp verbetert oproepen op drie manieren: dit is nieuw (10-04)
- Eindelijk: 'Meta werkt aan Instagram-app voor iPad' (09-04)
- Apple brengt nieuwe Mac- en Vision Pro-app uit: dit kun je met de Immersive Video Utility (08-04)
- WhatsApp krijgt extra beveiligde chats: zo krijg je meer privacy (07-04)
Aha. De standaard cascadering van slecht nieuws door PR-afdeling
– “Niets aan de hand”
– “OK, inbraakje, maar meer niet”
– “OK, wat losse, maar niet klantgerichte gegevens buitgemaakt”
– “Waarschijnlijk ging het om bron-code van ons bedrijf”
– “OK, er zou meer aan de hand kunnen zijn”
– “Dus tijd voor onderzoek”
– “We hebben meer tijd nodig om het onderzoek af te ronden”
– “Degene die verantwoordelijk was voor de beveiliging is op non-actief gezet”
– “Dat was een ingehuurde kracht, geen interne medewerker”
– “Er is wel data buitgemaakt – maar geen reden tot zorg”
– “Mhhh….. ehhhh…..Tja…., nou ehh….. eigenlijk liggen dus gewoon alle klanten wachtwoorden op straat”
Dus het meeste veilige plekje voor wachtwoorden is het zakboekje. Alles wat online staat (zoals wachtwoorden en alles wat je in de cloud bewaard) kunnen potentieel doelwit zijn waarbij alles op straat komt te liggen.
Nee niet een zakboekje!!
Wel Keepass met een lokale database, een lange wachtzin en een tweede key.
@PeliileP: Dat kan. Maar ik ben er niet van overtuigd dat dat gegevens niet geüpload kunnen worden. Net als bij Euvy met de deurbel. Maar ben het met je eens dat het zakboekje net de veiligste optie hoeft te zijn …
Ik begrijp sowieso niet goed waarom mensen hun wachtwoorden in de cloud zetten. Het is wachten tot zoiets gebeurt. En het zal niet de laatste keer zijn.
Gewoon maar Welkom123 als wachtwoord overal gebruiken als moeilijke wachtwoorden in een wachtwoord app ook niet meer veilig zijn 🤣
Precies! Dus lokaal.
Zolang je two-factor-authentication hebt ingesteld, waar dat mogelijk is, ben je voor 95% nog steeds veilig, zelfs wanneer je wachtwoord voor die website/platform op straat ligt. Leuk dat ze je wachtwoord hebben, maar als ze nog steeds een SMS-code of een 30-seconden uniek gegenereerd wachtwoord moeten hebben, komen ze er waarschijnlijk toch niet doorheen.
Helaas is 2FA lang niet overal beschikbaar, maar gelukkig op de (voor mij) belangrijkste locaties wel.
@Sander: SMS staat ook al bekend als onveilig en daarom door steeds meer partijen afgeraden of afgeschaft voor tweefactor-authenticatie.
Dat een wachtwoord-app die (mogelijk) wachtwoorden in de cloud opslaat een geval van het middel is erger dan de kwaal is, was al even bekend.
Dat LastPass zelf zegt dat het allemaal wel meevalt is natuurlijk absoluut geen geloofwaardige geruststelling voor gebruikers die zo naïef waren er nog op te vertrouwen na de vorige hack – maar het is ook wel een beetje eigen schuld (…) dat ze nu ook hiervan slachtoffer worden …
(Red.) Update in artikel gezet n.a.v. uitleg van LastPass dat ook wachtwoordkluizen van gebruikers in verkeerde handen zijn gevallen.
Dat was al jaren bekend. Het gaat allemaal uiteindelijk om vertrouwen. Ik vertrouw dit soort diensten op afstand niet mijn wachtwoorden toe.
Toen ik bij Mediahuis werkte, gebruikten ze voor alles Lastpass. Ik ben héél benieuwd hoe zij hiermee omgaan… Vond het toen sowieso al niet een heel slim systeem.
Ik heb dit soort betaalde diensten nooit vertrouwd, eerlijk gezegd. Ik vertrouw wel Apples eigen wachtwoordmanager Sleutelhanger. Misschien naïef van me, maar zo werkt het wel bij mij. Apple’s ecosysteem is zo groot, ze kunnen in vergelijking met die wachtwoordapps zich geen slechte software veroorloven.
Ok, ze hebben dus hun klanten weken in onzekerheid laten zitten terwijl hackers los konden gaan op het master password die alles zou ontsleutelen. Lekker hoor.
Beter hadden ze iedereen opgeroepen direct hun belangrijkste passwords te wijzigen die in die vaults zaten.
Het duurt jaren om die wachtwoord brut force
Dit is de zoveelste keer dat ze gehacked zijn, zonder transparante communicatie. Ik ben al lang en met volle tevredenheid overgestapt op Bitwarden.
…dus moet ik alle wachtwoorden binnen lastpass nu veranderen of alleen het hoofdwachtwoord?…
Goede vraag. Meest veilige is om gewoon alles aan te passen en weg te gaan bij lastpass 😟
Het zoveelste voorval bij Lastpass. Dit kon wel eens licht uit betekenen…
Maar dan niet de fout maken om in de handige cloud paswoord-tool ook de 2FA functie te gebruiken…. (Ja dit gebeurt echt(!))
Allemaal. Als ze de master kraken hebben ze toegang tot alle oude wachtwoorden. Bij lastpass kan je blijkbaar ook niet echt zeker zijn dat ze ook effe de nieuwe komen halen 🙂
Apple’s sleutelring is mits je zorgvuldig met je toegangscode op je iDevices en je wachtwoord op MacBooks omgaat (lange codes/wachtwoorden en deze afgeschermd invoert) veel veiliger aangezien de sleutels voor de versleuteling van je sleutelring in eigen beheer hebt. Nadeel is dat dit, voor zover ik weet niet op andere os/platformen werkt. Vandaar mijn advies om vooral keepsake met een lokale database en sleutelbestamd en lang wachtwoord over te stappen.