De hacker die de systemen van wachtwoordmanager LastPass wist binnen te dringen in augustus heeft onder andere versleutelde wachtwoorden, e-mailadressen en andere persoonlijke gegevens van klanten bemachtigd. Dat meldt LastPass zelf in een update op zijn blog.
In augustus van dit jaar werd er ingebroken op de ontwikkelaarsomgeving van LastPass. In eerste instantie berichtte de wachtwoordmanager dat er geen klantgegevens of wachtwoorden waren buitgemaakt. Begin december kwam echter naar buiten dat de hacker toch toegang had tot ‘bepaalde elementen van klantgegevens’. Nu komt dus naar buiten om welke klantgegevens het gaat.
Gestolen gegevens
De wachtwoordmanager zegt dat de hacker in eerste instantie de toegangssleutel tot de cloud-service en de decoderingssleutels voor de dubbele opslagcontainer in handen kreeg. Daarna kopieerde hij de data uit deze container. Dit zijn de gegevens die opgeslagen stonden op deze locatie:
- Bedrijfsnamen van zakelijke klanten.
- Namen van gebruikers.
- Factuuradressen.
- E-mailadressen.
- Telefoonnummers.
- IP-adressen van waar klanten toegang tot de LastPass-services kregen.
Daarnaast wist de hacker ook data uit de persoonlijke kluizen van klanten te stelen. Het gaat hier om zowel versleutelde als niet-versleutelde data. Gegevens die niet versleuteld zijn, zijn bijvoorbeeld URL’s van websites. Dit betekent dat de hacker de URL van websites kan zien waarbij een wachtwoord is opgeslagen in je kluis.
De wachtwoorden, gebruikersnamen en notities zijn echter wel versleuteld en hier heeft de hacker dus niet direct toegang toe. Al deze data zijn versleuteld met 256-bit AES encryptie en kunnen alleen ontsleuteld worden met het hoofdwachtwoord van de kluiseigenaar. LastPass heeft zelf dit hoofdwachtwoord nergens opgeslagen en de hacker heeft deze dus ook niet kunnen stelen.
Risico LastPass-gebruiker
LastPass benadrukt dat er geen aanwijzingen zijn dat onversleutelde creditcardgegevens zijn gestolen. De hacker kan deze dus niet gebruiken om geld te stelen. Wel heeft de cybercrimineel gegevens in handen die hij kan gebruiken voor social engineering-technieken. Door je bij je echte naam te noemen en aan te tonen dat hij je telefoonnummer kent, kan een hacker bijvoorbeeld veel geloofwaardigere phishing-berichten sturen. Via deze phishing-berichten kan de crimineel alsnog toegang proberen te krijgen tot bijvoorbeeld je bankrekening.
LastPass waarschuwt bovendien dat het bedrijf je nooit zal bellen, e-mailen of sms’en met de vraag om op een link te klikken. Als je een link toegestuurd krijgt van LastPass waarbij staat dat je erop moet klikken ter verificatie van je account, weet je dus zeker dat het om een phishing-bericht gaat. Ook vraagt LastPass je nooit om je masterwachtwoord.
Het is jammer dat LastPass is gehackt mijn vertrouwen in LastPass is volledig kwijt mijn LastPass account is verwijderen maar veel zin heeft dat niet om hacker data al heeft dus nu moet je al wachtwoord wijzigen dat duurt een tijdje