LastPass

LastPass-moederbedrijf GoTo meldt dat bij de aanval op LastPass in 2022 ook andere GoTo-diensten zijn getroffen. Daarbij zijn versleutelde back-ups van onderliggende diensten buitgemaakt.


Het betreft hier dus geen nieuw lek, maar een vervolg op LastPass’ never-ending-story dat in augustus 2022 begon. Kwaadwillenden verkregen via die aanval toegang tot inloggegevens van GoTo’s cloudopslag. LastPass bracht op 30 november naar buiten dat via dit lek klantgegevens waren vrijgekomen. Wat de wachwoordmanager niet meldde was dat de cloudopslag ook gegevens bevatte van andere GoTo-diensten. Dat verhaal komt deze week pas naar buiten via een GoTo-blogpost. Het bedrijf zegt contact op te nemen met klanten die door de aanval zijn getroffen.

Versleutelde back-ups gelekt

Volgens GoTo gaat het om gebruikers van GoTo Central en GoTo Pro, Join.me, Hamachi en Remote Anywhere. Bij de aanval op de clouddienst verkregen hackers ‘versleutelde back-ups’. Die back-ups bevatten onder meer gebruikersnamen, wachtwoorden, 2FA-instellingen en klantdata als het type product dat werd afgenomen. Dat betreft overigens een algemeen overzicht van de data die bij de aanval werd buitgemaakt – welke data er gestolen is, verschilt volgens GoTo per dienst.

Gezien de back-ups zijn versleuteld, ligt de data niet direct op straat. Toch ging ook op dat vlak nog het een en ander mis bij GoTo. Hackers verkregen ‘decryptiesleutels van sommige back-ups’. Welke back-ups daarmee gekraakt kunnen worden en welke gegevens daarin aanwezig zijn, laat GoTo nog in het midden. Voor de bestanden waarvan geen sleutels zijn uitgelekt, is geweten dat ze ‘gesalt en gehasht’ waren.


Hoeveel klanten door het datalek worden getroffen, is niet bekend. Het bedrijf zegt dat gebruikers in elk geval allemaal een nieuw wachtwoord moeten instellen. Daarnaast verplaatst GoTo de gegevens van gebruikers naar een nieuw Identity Management Platform. Die stap moet ertoe leiden dat GoTo je gegevens beter kan bewaken. Of het bedrijf ook stopt met het gezamenlijk opslaan van data voor GoTo-diensten, is niet bekend.

LastPass-hack op herhaling

LastPass-eigenaar kon de voorbije maanden rekenen op kritiek rondom de aanpak van het datalek bij de wachtwoordmanager. Meermaals kwam het bedrijf terug op de bewering dat er geen andere data was uitgelekt. Dit begon met klantgegevens die dan toch waren uitgelekt, waarna uiteindelijk in december bleek dat ook wachtwoorden waren uitgelekt.

De claims van LastPass waren behoorlijk nonchalant. Klanten van LastPass hoefden zich geen zorgen te maken over de gelekte kluizen. Die waren volgens het bedrijf zowat ‘ontkraakbaar’. Een claim die op forse kritiek van beveiligingsexperten kon rekenen.