Beheer

Security
cloud kluis

LastPass datalek update: klantgegevens bekend

Aanvaller weet wie je bent en welke diensten je gebruikt.

Cloud kluis © Shutterstock JLStock
23 december 2022

Aanvaller weet wie je bent en welke diensten je gebruikt.

Wachtwoord manager LastPass werd in augustus slachtoffer van een cyberaanval. Met behulp van de buitgemaakte gegevens kreeg de aanvaller begin deze maand toegang tot een cloudopslag met klantgegevens. LastPass laat nu weten dat de aanvaller privacygevoelige gegevens heeft kunnen inzien.

LastPass maakt in een blog post bekend dat de vooralsnog onbekende aanvaller toegang heeft gekregen tot een backup met accountgegevens van LastPass klanten en daaraan gerelateerde metadata, waaronder bedrijfsnamen, de namen van eindgebruikers, factuuradressen, emailadressen, telefoonnummers en de IP-adressen waarvandaan gebruikers LastPass hebben benaderd.

Websites bekend

De aanvaller heeft ook een backup van datakluisgegevens buitgemaakt. De meeste gegevens in die opslag zijn versleuteld met 256-bit AES encryptie. Die data zijn alleen toegankelijk te maken met het Master Password dat alleen bij de gebruikers zelf bekend is.

Maar de backup bevat ook onversleutelde gegevens, zoals de url’s van de websites waarvan de gebruikers wachtwoorden hebben opgeslagen. De aanvaller kent dus niet de wachtwoorden – maar wel bij welke websites de getroffen gebruikers een beveiligd account hebben.

Phishing

LastPass waarschuwt dan ook voor phishing en andere gerichte pogingen om gebruikers het Master Password te ontfutselen. Het bedrijf benadrukt bovendien dat aanvallers kunnen proberen het hoofdwachtwoord met brute kracht te ‘raden’. Dat zou onbegonnen werk moeten zijn, mits het wachtwoord voldoet aan de richtlijnen die het bedrijf voor een goed wachtwoord heeft opgesteld:

  • Kies een wachtwoord van minimaal 12 willekeurige karakters
  • Gebruik geen wachtwoord dat je ook ergens anders al gebruikt
  • Controleer of je LastPass kluis gebruikmaakt van voldoende ‘wachtwoord iteraties’ via de Password-Based Key Derivation Function (PBKDF2)

Mocht je Master Password niet aan deze voorwaarden voldoen, kies dan voor meer zekerheid door het alsnog zo snel mogelijk aan te passen. In geval van twijfel raadt het bedrijf aan ook de wachtwoorden van de sites in de LastPass kluis te veranderen. LastPass laat weten dat het in bepaalde gevallen al contact heeft opgenomen met gebruikers die een verhoogd risico zouden lopen. Dat zou gaan om 3% van de zakelijke gebruikers, die bepaalde voorzorgsmaatregelen niet hebben genomen.

Voorgeschiedenis

LastPass maakte in augustus bekend dat een aanvaller toegang had gekregen tot een deel van de source code en andere technische informatie uit de ontwikkelomgeving van LastPass. Eind november ontdekte het bedrijf dat die informatie was gebruikt om “een andere werknemer” aan te vallen, waarbij gegevens en sleutels werden buitgemaakt waarmee de aanvaller een aantal opslagvolumes van LastPass in de cloud kon openen en decrypten.

LastPass maakt gebruik van lokale clouddiensten, onder meer om te kunnen voldoen aan specifieke lokale eisen voor de opslag van gegevens. Het bedrijf heeft vooralsnog niet gereageerd op ons informatieverzoek om bekend te maken om welke cloud-opslag in welke regio’s het hier gaat, of hoeveel klanten in potentie door deze aanval zijn geraakt.

Het bedrijf zegt een reeks maatregelen te hebben genomen om te voorkomen dat vergelijkbare incidenten in de toekomst nog kunnen plaatsvinden.

Lees meer over
2
Reacties
Mr Marcie 23 december 2022 12:38

Niet de eerste keer dat Lastpass slecht in het nieuws is, jaren geleden ook al. Sindsdien ben ik super tevreden met Bitwarden. Kan je nog hosten op je eigen server/vps ook.

Don van Riet (oud KPN strateeg) 23 december 2022 12:09

Bij inbraken van enigerlei soort, of dat nu digitaal of fysiek gaat is de mens de zwakste schakel. Het kan best zijn dat de kenis over de opbouw van de Last Pass configuratie uit een omgekochte medewerker afkomstig is. Iets dat je meestal niet kan bewijzen overigens...

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.