LastPass komt met een melding dat het bedrijf getroffen is door een datalek. Een hacker slaagde erin om delen van de ontwikkelaarsomgeving te infiltreren en “een aantal technische gegevens” buit te maken. Er zijn geen aanwijzingen dat er klantgegevens of wachtwoorden zijn buitgemaakt.
Dat meldt Karim Toubba, de CEO van LastPass, via een weblog.
Onderzoek nog in volle gang
Het voorval deed zich twee weken geleden voor. LastPass zag toen “ongebruikelijke activiteiten” binnen delen van de ontwikkelaarsomgeving. De ontwikkelaar van de password manager kwam daarop direct in actie. IT-medewerkers constateerden dat een onbevoegde partij toegang had weten te verschaffen tot de interne systemen van het bedrijf via een gecompromitteerde ontwikkelaarsaccount.
Daarbij heeft hij delen van de broncode en “een aantal technische gegevens” van LastPass gekopieerd. Toubba zegt dat alle producten en diensten van LastPass normaal werken. Verder vertelt de topman dat er geen aanwijzingen zijn dat de dader toegang had tot klantgegevens of versleutelde wachtwoordkluizen.
Volgens de CEO is alles onder controle en zijn er aanvullende beveiligingsmaatregelen genomen om andere hackers buiten de deur te houden. Het onderzoek naar de toedracht van de datadiefstal is nog in volle gang. LastPass heeft daarbij de hulp ingeroepen van een niet-nader genoemd cybersecuritybedrijf dat forensisch onderzoek verricht. Er zijn geen signalen van andere ongeautoriseerde activiteiten door de dader of daders.
Gebruikers hoeven geen maatregelen te treffen
LastPass legt in een FAQ uit dat er geen hoofd- of kluiswachtwoorden zijn bemachtigd door de aanvaller. Het bedrijf zegt dat het deze toegangscodes niet bewaard. “We maken gebruik van een industriestandaard genaamd Zero Knowledge architectuur die ervoor zorgt dat LastPass nooit kan weten of toegang kan krijgen tot het hoofdwachtwoord van onze klanten”, zo legt LastPass uit.
Toubba benadrukt dat het incident zich beperkt tot de LastPass-ontwikkelaarsomgeving. “Ons onderzoek heeft geen bewijs opgeleverd van ongeoorloofde toegang tot versleutelde kluisgegevens. Ons Zero Knowledge model garandeert dat alleen de klant toegang heeft tot het decoderen van kluisgegevens”, aldus de algemeen directeur.
Tot slot laat LastPass weten dat er voor klanten geen aanleiding is actie te ondernemen. Het is dus niet nodig om het kluiswachtwoord of andere wachtwoorden van online accounts aan te passen. Vanzelfsprekend adviseert het bedrijf om een sterk hoofdwachtwoord te kiezen: het kraken van de digitale kluis is daardoor een stuk lastiger. LastPass raadt aan om je kluiswachtwoord ten minste 12 karakters lang te maken, hoofd- en kleine letters en symbolen door elkaar te gebruiken en geen persoonlijke informatie in het hoofdwachtwoord te vermelden (zoals een geboortedatum of woonadres).
LastPass is één van de gratis wachtwoordmanagers die VPNGids.nl aanbeveelt om de wachtwoorden van je online accounts te beheren. Wij hebben de beste gratis wachtwoordmanagers uitgebreid getest en voor jullie op een rij gezet.
