Als je LastPass gebruikt, dan kun je toch maar beter zorgen dat je al je opgeslagen wachtwoorden in die app aanpast. Het heeft helaas even geduurd voordat de app kon onderzoeken of er ook daadwerkelijk versleutelde wachtwoorden zijn buitgemaakt, maar dat blijkt wel het geval.
Het is niet bepaald een leuk kerstcadeau van LastPass, naast dat het enorm slecht is voor de reputatie van de wachtwoordmanager. Immers is het juist de enige functie van LastPass om te zorgen dat jouw wachtwoorden veilig blijven. Iets dat het niet kon waarmaken dit jaar. Afgelopen zomer konden hackers inbreken binnen LastPass en allerhande informatie inzien. Zo werden er niet alleen adresgegevens gestolen, maar zo blijkt nu, ook versleutelde wachtwoorden.
Het bedrijf schrijft dat uit onderzoek is gebleken dat “een onbekende dreiger zich toegang heeft verschaft tot een cloud-gebaseerde opslagomgeving door gebruik te maken van informatie uit het incident dat we eerder in augustus 2022 hebben bekendgemaakt”. Er zijn in augustus 2022 geen klantgegevens buitgemaakt, maar wel iets anders. “Er zijn enkele broncodes en technische gegevens uit onze ontwikkelomgeving gestolen en gebruikt om een andere medewerker aan te vallen, waarbij referenties en sleutels zijn verkregen die zijn gebruikt om toegang te krijgen tot enkele opslagvolumes binnen de cloudgebaseerde opslagdienst en deze te ontsleutelen.”
Kortom, als klant heb je helaas toch een probleem. Hoewel het niet zo erg is als je zou denken, is het zeker wel verstandig om je wachtwoorden te vervangen voor nieuwe wachtwoorden. De dader kan namelijk de kopieën van je kluisgegevens ontsleutelen, al heeft hij daarvoor wel je hoofdwachtwoord nodig. Dat hoofdwachtwoord hebben de hackers niet kunnen ontfutselen, meent LastPass, maar het kan uiteraard wel. Daarom raadt het bedrijf ook aan om je hoofdwachtwoord te veranderen. Zorg dat hij lang en onlogisch is, maar dat je hem wel zelf kunt onthouden.
Er is echter meer ellende die voortkomt uit de beveiligingsproblemen van LastPass: klanten kunnen phishing-aanvallen verwachten. Pas dus goed op wanneer je mail of sms krijgt en houdt je accounts van de wachtwoorden die je in je LastPass hebt opgesloten in de gaten (verander hier dus ook je wachtwoorden). Het bedrijf benadrukt nog maar eens dat LastPass nooit zal vragen op een link te klikken om je persoonlijke gegevens te verifiëren, of je nooit zal bellen of smsen met dat doel.
LastPass zegt: “Om de veiligheid van je hoofdwachtwoord verder te verhogen, gebruikt LastPass een bovengemiddeld sterke implementatie van 100.100 iteraties van de Password-Based Key Derivation Function (PBKDF2), een wachtwoordversterkend algoritme dat het moeilijk maakt om je hoofdwachtwoord te raden. Het is mogelijk om dit te controleren op de website van LastPass.” Desondanks blijven we erbij: beter voorkomen dan genezen en toch maar wel je wachtwoorden veranderen.
Het bedrijf heeft naar de toekomst toe wel wat veranderingen toegepast: “We hebben extra logging- en waarschuwingsmogelijkheden toegevoegd om verdere ongeautoriseerde activiteiten te helpen detecteren, waaronder een tweede verdedigingslinie met een toonaangevende leverancier van beheerde endpoint-detectie en -respons als aanvulling op ons eigen team.”
Daarnaast geeft het aan dat het een lopend onderzoek blijft en dat het de wetshandhavingsinstanties op de hoogte heeft gebracht. Het is onbekend hoeveel accounts ‘gehackt’ zijn. Vandaar dat je maar betere het zekere voor het onzekere kunt nemen om je wachtwoord van LastPass, maar ook van al die bedrijven van wie je de wachtwoorden in je LP-account hebt staan, te wijzigen.
