Toch wachtwoorden gestolen bij LastPass hack
Hackers wisten deze zomer dus niet alleen “gepatenteerde technische informatie” te stelen vanaf de ontwikkelomgeving van LastPass. Er werd volgens de nieuwste update ook toegang verkregen tot de back-up van Vault-data. URL’s waarop gebruikers wachtwoorden ingaven, werden daarin onbeveiligd opgeslagen; de gebruikersnamen, wachtwoorden, notities en overige formulier-invulgegevens werden versleuteld opgeslagen. Zodoende zijn deze gegevens zonder master password niet toegankelijk voor de hacker.
Zoals gewoonlijk voor wachtwoordkluizen als LastPass heeft het bedrijf die hoofdwachtwoorden niet in beheer. Enkel eindgebruikers beschikken over hun master password. Volgens LastPass hoeven zijn gebruikers zich hierdoor geen zorgen te maken over hun gestolen data. Wel erkent het bedrijf dat er risico’s bestaan voor gebruikers met onveilige wachtwoorden. Kwaadwillenden zouden namelijk een master password via de bruteforce-techniek kunnen achterhalen en de data ontgrendelen.
LastPass: wijzig je wachtwoorden
Degenen die bij het aanmaken van hun master password de aanbevelingen van LastPass opvolgden – waaronder een wachtwoord van minstens 12 tekens – lopen daarbij relatief weinig risico. Het zou op basis van de huidig gangbare bruteforce-technieken miljoenen jaren duren om zo’n wachtwoord te achterhalen. Daar zit wel een addertje onder het gras: gebruikers die dat wachtwoord in of voor 2018 creëerden, lopen extra risico. De dienst voerde in 2018 het sterkere pbkdf2-algoritme door. De wachtwoorden die voor die datum werden aangemaakt, zijn nooit naar dit protocol overgeplaatst.
Gebruikers met zwakkere wachtwoorden of die hun beveiligingssleutel in of voor 2018 creëerden, worden aangeraden de wachtwoorden van websites gelinkt aan LastPass te wijzigen. Ongeweten is of alle LastPass-klanten door de hack zijn getroffen. Wel lijken de aanbevelingen alvast voor alle (ex-)LastPass-gebruikers te gelden. Zakelijke gebruikers zouden mogelijk in mindere mate getroffen zijn. Slechts 3 procent van de zakelijke gebruikers werd gecontacteerd om actie te ondernemen.
‘Let op phishing-aanvallen’
LastPass zegt het datalek gemeld te hebben bij de relevante autoriteiten. Ook werden stappen gezet om de risico’s op aanvallen in het vervolg te verminderen. Zo stelt het bedrijf dat de beveiliging van de ontwikkelaarsaccounts is versterkt en werden nieuwe ontwikkelomgevingen in gebruik genomen. In die uitleg ontbreekt nog wel altijd de reden waarom zulke gevoelige data toegankelijk was via ontwikkelaarsaccounts.
Wees intussen alert op mogelijke phishing-aanvallen, dat stelt LastPass. Bij de aanval in de zomer werden naast wachtwoorden ook klantdata als e-mailadressen en telefoonnummers gestolen.