Beheer

Security
LastPass

Versleutelde klantback-ups gestolen bij LastPass-datalek

Mogelijk ook encryptiesleutel gestolen

25 januari 2023

Mogelijk ook encryptiesleutel gestolen

De aanvallers die afgelopen november succesvol data wisten te stelen van wachtwoordmanager LastPass, hebben ook back-ups gestolen van sommige klanten. Dat meldt moederbedrijf GoTo. Ook zijn er aanwijzingen dat een encryptiesleutel gestolen is, die gebruikt wordt om de data van sommige klanten te beveiligen.

LastPass werd afgelopen augustus al getroffen door een cyberaanval, waarbij cybercriminelen toegang kregen tot delen van de ontwikkelomgeving van de dienst. Daarbij wisten de aanvallers ook informatie te stelen waarmee ze in november toegang kregen tot een cloudopslag van een derde partij, die zowel door LastPass als door moederbedrijf GoTo gebruikt wordt. Vlak voor de kerst werd al duidelijk dat de criminelen daar privacygevoelige gegevens konden inzien.

Nu meldt GoTo in een blogbericht dat er versleutelde back-ups zijn buitgemaakt via de cloudopslag. Die back-ups bevatten kopieën van data voor recovery in geval van nood. De gestolen gegevens zijn back-ups voor de diensten Central, Pro, join.me, Hamachi en RemotelyAnywhere, aldus GoTo. In de back-ups zitten onder meer gebruikersnamen, versleutelde wachtwoorden, een deel van de multi-factor authentication (MFA)-instellingen, licentie-informatie en een aantal productinstellingen. 

Daarnaast zegt GoTo dat er bewijs gevonden is dat er een encryptiesleutel is gestolen voor een deel van de versleutelde back-ups. Daarmee zou een aanvaller dus die informatie kunnen ontsleutelen. 

Wachtwoorden gereset

Getroffen klanten worden door GoTo op de hoogte gesteld en voorzien van informatie en adviezen voor vervolgstappen om accounts opnieuw te beveiligen.

"Hoewel alle accountwachtwoorden uit extra voorzichtigheid volgens de best practices 'gesalt' en 'gehasht' zijn, resetten we ook de wachtwoorden van getroffen gebruikers en/of verifiëren we MFA-instellingen opnieuw waar nodig", aldus GoTo. Verder worden accounts van getroffen gebruikers gemigreerd naar een verbeterd Identity Management Platform, dat extra beveiliging moet bieden met meer robuuste authenticatie en beveiligingsopties gebaseerd op inloggen. 

GoTo benadrukt tot slot dat het bedrijf geen volledige creditcardgegevens of bankdetails opslaat, en dat het geen persoonlijke informatie over eindgebruikers - zoals BSN-nummers, adressen of geboortedata - is verzameld. Dergelijke data is dus niet gestolen. 

Experts: stap over

LastPass heeft lange tijd na de security-incidenten volgehouden dat er geen reden voor paniek was en dat gebruikers geen actie hoeven te ondernemen. Securityexperts waren hier in december echter al kritisch over. “Ik zeg niet dat gebruikers afscheid moeten nemen van LastPass vanwege deze laatste inbreuk. Ik zeg dat ze moeten maken dat ze wegkomen bij LastPass vanwege de lange geschiedenis van incompetentie, apathie en nalatigheid. Het is overduidelijk dat ze niet om hun eigen veiligheid geven, en nog veel minder om jouw veiligheid", zei Jeremi Gosney, Senior Principal Software Engineer bij Yahoo, bijvoorbeeld. 

Vorige week kwamen berichten naar buiten dat gestolen LastPass-kluizen inmiddels ook actief gekraakt worden. Dieven zouden het eerst gemunt hebben op toegang tot wallets met virtuele valuta. 

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.