Update 30 december 2021: LastPass zegt dat gebruikers onterecht een melding hebben gekregen over inlogpogingen met hun hoofdwachtwoord. Het zou komen door een fout in het waarschuwingssysteem. Volgens moederbedrijf LogMeIn zijn er geen aanwijzingen dat er wachtwoorden gestolen zijn of dat bots probeerden in te loggen, zoals een manager eerder beweerde. In een blogposting leggen de makers van LastPass het nader uit. Het zou gaan om een kleine groep gebruikers.
Update 29 december 2021: LogMeIn, het moederbedrijf van LastPass, heeft toegegeven dat er inderdaad sprake is van een hack, maar dat er niet is ingebroken op accounts. De verdachte activiteiten zouden worden veroorzaakt door bots, die e-mailadressen en wachtwoorden van eerdere datalekken hebben misbruikt. Die zouden achterhaald zijn via diensten van derden.
Een topmanager van LogMeIn zegt:
It’s important to note that we do not have any indication that accounts were successfully accessed or that the LastPass service was otherwise compromised by an unauthorized party. We regularly monitor for this type of activity and will continue to take steps designed to ensure that LastPass, its users, and their data remain protected and secure.
Hieronder volgt ons oorspronkelijke artikel van 28 december.
Mogelijk is LastPass het slachtoffer van een datalek, zo blijkt uit meldingen op Hacker News. Er zouden vanaf meerdere locaties meerdere inlogpogingen zijn gedaan met het juiste master password. Het is nog onduidelijk hoe het wachtwoord kan zijn gelekt, maar er lijkt wel sprake van een patroon. De meeste slachtoffers hebben hun account al een tijdlang niet gebruikt en hebben hun wachtwoord ook al langere tijd niet gewijzigd. Het zou kunnen betekenen dat de hack al veel eerder heeft plaatsgevonden.
Volgens andere gebruikers heeft het wijzigen van het hoofdwachtwoord niet geholpen. Eén gebruiker meldt er dat telkens wanneer het wachtwoord was aangepast, toch weer inlogpogingen werden gedaan vanaf verschillende locaties. Het kan zijn dat LastPass momenteel wordt aangevallen. Een officiële reactie van de softwaremaker is er nog niet.
Gebruikers krijgen e-mailberichten zoals deze:
Hello,
Someone just used your master password to try to log in to your account from a device or location we didn’t recognize. LastPass blocked this attempt, but you should take a closer look.
Het master password is het wachtwoord waarmee je toegang krijgt tot je volledige kluis. Als iemand dit weet zijn dus ook al je inloggegevens van andere diensten te achterhalen.
LastPass is een gratis wachtwoordmanager die op meerdere platformen beschikbaar is. Bij de Android-versie van de app doken al eerder beveiligingszorgen op en gebruikers zouden te veel worden gevolgd met trackers. Ook in dit geval is ‘gratis’ misschien niet de beste oplossing. Sinds afgelopen maart is LastPas sowieso al minder interessant geworden, omdat je de gratis versie nog maar op één apparaat mag gebruiken.
Dit kun je zelf doen
Ben je gebruiker van LastPass, dan kun je een aantal voorzorgsmaatregelen nemen. Het inschakelen van tweefactorauthenticatie is daarbij het meest belangrijk. Een aanvaller heeft dan altijd een unieke eenmalige code nodig, die alleen op jouw vertrouwde toestel binnenkomt. Overigens meldt een gebruiker op Hacker News dat de tweefactorbescherming er bij LastPass gemakkelijk af te halen is – opnieuw reden voor alarmbellen.
Hou ook in de gaten of er er verdachte inlogpogingen zijn. En ook al heeft het bij anderen niet geholpen: het instellen van een ander wachtwoord is na een hack altijd een goed idee. Kies dan wel een moeilijk te raden wachtwoord dat cijfers, letters en speciale tekens bevat.
Mocht je de onzekerheid zat zijn, dan kun je ook overstappen naar Apple Sleutelhanger of 1Password. Er zijn genoeg wachtwoordenapps die jou graag als gebruiker binnenhalen. Na het exporteren van je data bij LastPass importeer je ze bij een van de andere diensten. Je kunt vervolgens het beste de wachtwoorden bij LastPass helemaal wissen.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Het laatste nieuws over Apple van iCulture
- AI gebruiken met de iPhone 3GS? Met deze app lukt het (11-04)
- WhatsApp verbetert oproepen op drie manieren: dit is nieuw (10-04)
- Eindelijk: 'Meta werkt aan Instagram-app voor iPad' (09-04)
- Apple brengt nieuwe Mac- en Vision Pro-app uit: dit kun je met de Immersive Video Utility (08-04)
- WhatsApp krijgt extra beveiligde chats: zo krijg je meer privacy (07-04)
Ook interessant
Hierom is updaten belangrijk: Apple’s Wachtwoorden-app had maandenlang gat in beveiliging
Waarschuwing bij gelekt wachtwoord op de iPhone
Dit kun je met Apple’s nieuwe Wachtwoorden-app
‘Wachtwoorden van Vision Pro-gebruikers waren te achterhalen’
Een sterk master password kiezen voor 1Password, LastPass en meer
Inbraak bij LastPass groter dan gedacht: wachtwoordkluizen gelekt
Ik heb de betaalde versie, maar heb voor de zekerheid mijn Masterpassword weer aangepast!
Dit was van meet af aan al duidelijk dat zou gaan gebeuren,
Een programma die al die on-onthoud-bare wachtwoorden beheert….in de cloud, waarvan je maar moet hopen dat ze hun beveiliging op orde hebben.
en waar criminelen op gaan jagen om binnen te dringen.
Dan is mijn analoge adresboekje met al die wachtwoorden nog zo gek nog niet, met een kopie op een andere locatie 🙂
Weer een goed voorbeeld om je 2FA / MFA in te stellen waar mogelijk. Zeker met dit soort systemen waar alle kritieke informatie staat opgeslagen.
Zelf heb ik geen Lastpass maar maak ik gebruik van 1Password.
Wachtwoorden in de cloud, nooit gedaan en ga ik nooit doen! Schijnveiligheid, hackers zijn Top ICTers… hier het bewijs 🤭
@Captain obvious: Haha is zeker zo gek nog niet, echter je boekje kwijt en reserve boekje niet bijgewerkt weg wachtwoorden.
Je moet niet vergeten beide boekjes dan constant bij te werken 🙂
Ik gebruik LastPass al jaren, maar heb een 33 karakter wachtwoord, en daarnaast 2FA…
Nog nooit ergens last van gehad.
Al jaren gebruik ik mSecure, de betaalde versie. Zowel op de iPhone als op de MacBook. Nooit ellende of gezeik mee gehad en in de ruim 8 jaar van gebruik geen datalek meegemaakt.
Mocht je bij mSecure je mainpassword kwijt zijn, geen back-up hebt van de QR ben je de klos want dan kom je er zelf ook niet meer in.
Ik vertrouw vooral op mn eigen intuïtie wat betreft paswoorden.. heb een eenvoudig vercijfer systeem bedacht.. in een file waarvan niemand op het idee komt dat er weleens passwoordjes in kunnen.staan..
@Mars: en wel zeker de sleutelhanger van Apple gebruiken?
Als je de grootste/bekendste bent, ben je een target.
Zelf gebruik ik Dashlane – wel met 2FA!!
Van wat ik heb begrepen zijn deze minder vaak in het nieuws met aanvallen/hacks dan LastPass
@Swen: Neen, niets van dat …
@Mars: Ik gebruik de sleutel hanger in iCloud, en ga er vanuit dat (deze van Apple toch zeker) veilig zijn. Aangezien het bedrijf sterk inzet op Privacy, en geld loont aan diegene die lekken kunnen aantonen. De end-end encryptie die uniek is aan je toestel zorgt ervoor dat Apple zelf de wachtwoorden niet bijhoudt, en je niet kunnen helpen als je ze kwijt bent. Maw de veiligste data bescherming die mogelijk is, allemaal versleuteld achter je Apple ID (met of zonder) 2-factor authenticatie.
Alsnog worden er individuele Apple ID’s gehacked, waar gebruikers informatie op een frauduleuze website achter laten (een account proberen maken met Apple ID of dergelijke). Hackers kunnen met deze informatie checken of de gebruiker zijn email verbonden is met iCloud. Dus als er een zwak paswoord is, of 2FA niet ingeschakeld staat. Dan is het een muis voor de kat.