LastPass opnieuw gehackt
Het is niet de eerste keer dat LastPass het doelwit wordt van hackers. In augustus van dit jaar werd al eens bij het bedrijf binnengedrongen. Daarbij kregen de hackers toegang tot de ontwikkelaarsomgeving die achter de wachtwoordmanager schuilgaat. Daar konden de onbekenden vier dagen lang in rondneuzen vooraleer het veiligheidslek ontdekt werd.
Deze keer maakten de hackers gebruik van wat ze in augustus leerden om LastPass op een efficiënte manier te kunnen hacken. De hackers zouden toegang verkregen hebben tot de cloudopslag die LastPass gebruikt, maar die voorzien wordt door een ander bedrijf dat niet genoemd wordt. Volgens de LastPass-CEO Karim Toubba zouden de indringers toegang gekregen hebben tot ‘bepaalde informatie’ uit hun klantenbestand. Over welke informatie dat precies is, kan het bedrijf nog niets zeggen. Op dit moment onderzoeken ze volop hoe groot het veiligheidslek precies was en welke gegevens er vrijgekomen zijn.
Geen wachtwoorden gelekt
Wel benadrukt de CEO dat er geen paswoorden ontfutseld werden tijdens de hack. Een ‘zero knowledge’-architectuur zorgt ervoor dat alle paswoorden versleuteld zijn én dat LastPass ze niet zelf kan ontcijferen. Alle sleutels voor decryptie bevinden zich namelijk op het apparaat van de gebruiker en dus niet op de server. Bij LastPass zelf kunnen ze dus niet zomaar zien wat jouw wachtwoord is. Ook eventuele hackers die met versleutelde wachtwoorden aan de haal gaan, zullen die niet kunnen ontcijferen.
LastPass wordt door ongeveer 30 miljoen mensen gebruikt. Deze mensen moeten hun wachtwoord voorlopig nog niet gaan veranderen, aangezien die informatie dus niet uitgelekt werd. De wachtwoordmanager zelf zegt dat het volstaat om niets te doen. Je kan de dienst ook gewoon blijven gebruiken: alles blijft operationeel.