De hackers die in augustus de cloudomgeving van LastPass wisten te infiltreren, hadden toegang tot ‘bepaalde elementen van klantgegevens’. Om wat voor data het gaat laat de ontwikkelaar van de wachtwoordmanager in het midden. Het onderzoek naar het incident gaat door en in de tussentijd blijft het bedrijf de beveiligingsmaatregelen verbeteren.
Dat schrijft Karim Toubba, de CEO van LastPass, in een statement.
Wachtwoorden zijn veilig
Eind augustus meldde LastPass dat het bedrijf getroffen was door een datalek. Eerder die maand zagen IT-medewerkers “ongebruikelijke activiteiten” in delen van de ontwikkelaarsomgeving. Al snel werd duidelijk dat onbevoegden toegang hadden tot de interne systemen van het bedrijf. Hiervoor gebruikten de daders een gecompromitteerde ontwikkelaarsaccount.
Aanvankelijk zei Toubba dat de aanvallers delen van de broncode en “een aantal technische gegevens” van LastPass had gekopieerd. Er waren geen aanwijzingen dat er klantgegevens of versleutelde wachtwoordkluizen waren buitgemaakt.
Daar komt de topman nu op terug. In een updatebericht over het datalek meldt de algemeen directeur dat een “ongeautoriseerde partij” in een recent incident in staat was om toegang te verkrijgen tot “bepaalde elementen van klantgegevens”. Toubba vertelt niet wat hij daarmee precies bedoelt. Wel verzekert hij klanten dat hun wachtwoorden veilig versleuteld zijn dankzij de Zero Knowledge architectuur van LastPass.
Producten en diensten LastPass blijven beschikbaar
“We doen onze best om de omvang van het voorval te begrijpen en identificeren tot welke specifieke informatie toegang is verkregen”, aldus de CEO. In de tussentijd kunnen klanten alle producten en diensten van LastPass blijven gebruiken.
Om opnieuw digitaal in te breken bij LastPass, hebben de daders hoogstwaarschijnlijk misbruik gemaakt van informatie die ze in augustus hebben bemachtigd. Cybersecuritybedrijf Mandiant onderzoekt de zaak. De politie is bij het onderzoek betrokken en op de hoogte van de laatste ontwikkelingen.
De topman benadrukt dat zijn medewerkers aanvullende beveiligingsmaatregelen treffen en de netwerkinfrastructuur nauwlettend monitoren om eventuele verdachte activiteiten snel te detecteren en in actie te komen. Tot slot belooft Toubba een update te geven zodra er nieuwe informatie over het incident boven tafel komt.
LastPass is één van de gratis wachtwoordmanagers die VPNGids.nl aanbeveelt om de wachtwoorden van je online accounts te beheren. Wij hebben de beste gratis wachtwoordmanagers uitgebreid getest en voor jullie op een rij gezet.
Update (23 december 2022): bij de cyberaanval die in augustus plaatsvond zijn wel degelijk wachtwoorden van klanten buitgemaakt. Dat bevestigt LastPass in een updatebericht. Aanvankelijk suggereerde de ontwikkelaar van de wachtwoordmanager dat enkel ‘bepaalde elementen van klantgegevens’ en ‘een aantal technische gegevens’ waren gestolen bij de aanval. Nu krijgen we meer inzicht over de buitgemaakte informatie.
Om te beginnen hebben de daders de hand weten te leggen op voor- en achternamen, telefoonnummers, e-mailadressen, factuuradressen en klantgegevens van zakelijke klanten. Verder wisten de aanvallers zowel versleutelde als niet-versleutelde data uit de persoonlijke kluizen van klanten te stelen.
Tot slot wisten de hackers versleutelde wachtwoorden te bemachtigen. LastPass probeert gebruikers gerust te stellen dat de inloggegevens dermate goed zijn beveiligd dat het ‘miljoenen jaren’ zou duren om ze te kraken. De beheerder van de wachtwoordmanager waarschuwt klanten dat ze het doelwit kunnen worden van kwaadwillende cybercriminelen. “LastPass zal u nooit bellen, e-mailen of sms’en om u te vragen op een link te klikken om uw persoonlijke gegevens te verifiëren”, aldus het bedrijf.
Update (25 januari 2023): LastPass-eigenaar GoTo meldt dat de hackers ook versleutelde back-ups van andere diensten hebben gestolen. Naast GoTo Central en GoTo Central Pro gaat het om VPN-dienst Hamachi, digitale vergaderapplicatie Join.me en de remote access tool Remotely Anywhere.
Per dienst verschilt het welke data de aanvallers hebben weten buit te maken. In de meeste gevallen gaat het om gebruikersnamen, wachtwoorden, instellingen voor multifactorauthenticatie, en prodict- en licentie-informatie van klanten. Tevens zouden de daders decriptiesleutels hebben weten te bemachtigen. GoTo zegt niet wat de gevolgen daarvan kunnen zijn.
Het moederbedrijf van LastPass herhaalt dat het geen creditcardgegevens of andere financiële informatie verwerkt. Het bedrijf zegt contact op te nemen met alle gedupeerde klanten.
