Beheer

Security
LastPass icon

'Gestolen LastPass-kluizen actief gekraakt door criminelen'

Dieven plunderen nu eerst wallets met virtuele valuta.

© LastPass
18 januari 2023

Dieven plunderen nu eerst wallets met virtuele valuta.

Data die is gestolen bij wachtwoordmanager LastPass wordt volgens rondgaande berichten nu actief gekraakt, waarbij er zelfs al sprake van succesvolle decryptie zou zijn. Door het ontsleutelen van LastPass-kluizen zijn alle daarin opgeslagen wachtwoorden te verkrijgen. Dieven hebben het nu eerst gemunt op toegang tot wallets met virtuele valuta.

Dit meldt incident response-bedrijf Responders waar de Nederlandse security-expert Rickey Gevers consultant is. LastPass-gebruikers die hun geheime sleutels voor crypto wallets en inloggegevens voor online-wallets hebben opgeslagen bij die wachtwoordmanagers worden nu beroofd, tweet het securitybedrijf.

Bleek telkens erger

Het dringende advies is om digitale fondsen te verplaatsen, omdat het wijzigen van wachtwoorden niet helpt. Eerder heeft het gehackte LastPass zijn gebruikers gerustgesteld dat zij wachtwoorden niet hoeven te resetten, dat hun gegevens en versleutelde wachtwoordkluizen niet in gevaar zijn.

Eind vorig jaar is echter gebleken dat sommige gegevens van klanten wel zijn ingezien door de aanvallers. LastPass heeft toen benadrukt dat wachtwoorden "veilig versleuteld blijven, dankzij LastPass' Zero Knowledge-architectuur". Daarbij bewaart het bedrijf geen decryptiesleutels op zijn servers. Dit lijkt echter niet te betekenen dat kraakaanvallen volledig kansloos zijn.

Daarna is nog naar buiten gekomen dat de aanvallers meer hebben buitgemaakt dan eerst bekend was. Met behulp van de gegevens die afgelopen zomer zijn gestolen, hebben de datadieven begin december toegang tot een cloudopslag met klantgegevens. LastPass liet vlak voor de kerst weten dat de aanvaller privacygevoelige gegevens hebben kunnen inzien.

Decryptie en plundering nu

Volgens Responders worden de gestolen gegevens van gebruikers nu actief ontsleuteld en misbruikt. De Nederlandse techjournalist Daniël Verlaan, die ook onderzoekswerk in cybercriminele kringen doet, meldt dat hij de waarschuwing van Responders kan bevestigen. "LastPass-gebruikers, het is echt tijd om actie te ondernemen", aldus Verlaan. Dit kan bestaan uit het verlaten van LastPass, maar moet allereerst zijn het wijzigen van álle opgeslagen wachtwoorden in die wachtwoordmanager.

Lees meer over
5
Reacties
Bop 26 januari 2023 16:21

'123456' raden ze niet.

Zou ik nóóit in LastPass zetten, veel te gevaarlijk!

Erik Erik 19 januari 2023 16:00

Ik sla alle wachtwoorden op met in het wacht woord een 'pin-code' vertaling.
Bv de eerste A in wachtwoord moet dan vervangen worden door '@GC' oid. Het is niet moeilijk om een paar van dit soort codes te onthouden.
Het gevolg is natuurlijk dat die WW-managers niet iets goeds kunnen invullen in mijn browser; elk opgeslagen WW moet nog even vertaald worden, maar dat is me de afgelopen jaren wel de moeite waard gebleken. Vooral bij dit soort berichten.

Dimitry 19 januari 2023 15:53

Overigens geldt: "veilig versleuteld blijven, dankzij LastPass' Zero Knowledge-architectuur" alleen voor de velden die ook daadwerkelijk versleuteld werden (de secret velden). Nooit is duidelijk gemaakt (door LastPass) hoe het met de overige velden zat. Maar gezien dat in ieder geval de URL velden unencrypted waren, moet je er vanuit gaan dat ook de overige (non-secret) velden unencrypted zijn opgeslagen. Heb je die gebruikt voor hints of andere info waaruit de secrets zijn af te leiden of te omzeilen, dan is het des te belangrijker die wachtwoorden als eerste te wijzigen.

Jorrit 19 januari 2023 15:19

Keepass is een goede optie als je je sleutels niet in de cloud wil plaatsen. Als je daar consequent in bent, hebben aanvallers fysieke toegang nodig tot de gegevensdrager(s).

Mr Marcie 19 januari 2023 12:06

Tsja, ik had daar nog een oud account van een jaar of 5 geleden. Die stond daar nog. Hoop niet dat dat een issue is want ik heb zo'n 2500!! wachtwoorden. Nou zijn die niet allemaal even belangrijk maar toch. Ik heb ondertussen van al mijn belangrijke zaken de wachtwoorden gewijzigd. Werk trouwens nu al sinds die tijd met volle tevredenheid met Bitwarden.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.