Wat je moet weten
- Volgens LastPass zijn de wachtwoordkluizen van klanten in handen gekomen van cybercriminelen.
- De hackers gebruikten informatie die ze hadden verkregen van een eerder incident dat LastPass afgelopen augustus bekendmaakte.
- Hoofdwachtwoorden blijven veilig en LastPass zegt dat het miljoenen jaren zal duren voordat hackers ze raden.
De inbreuk op de beveiliging die in augustus door LastPass werd onthuld, is erger dan eerder werd gedacht. LastPass heeft bevestigd dat cybercriminelen informatie uit het vorige incident hebben gebruikt om gecodeerde wachtwoordkluizen en andere klantgegevens te verkrijgen.
Volgens de laatste update van de wachtwoordbeheerder konden hackers "een back-up van klantkluisgegevens kopiëren uit de gecodeerde opslagcontainer", wat bevatte zowel niet-versleutelde gegevens zoals URL's als versleutelde gegevensvelden zoals gebruikersnamen en wachtwoorden van websites, beveiligde notities en ingevulde formulieren gegevens.
LastPass zei in augustus dat terwijl hackers toegang kregen tot delen van de ontwikkelomgeving, er geen klantgegevens in gevaar waren. Een paar maanden later onthulde het bedrijf dat "bepaalde elementen" klantgegevens bevatten
daadwerkelijk door het beveiligingsincident zijn getroffen.Bedreigers kregen toegang tot de broncode en andere technische gegevens en gebruikten deze informatie om het account van een LastPass-ontwikkelaar in gevaar te brengen. Als gevolg van het incident hebben de hackers uiteindelijk back-upkopieën van gebruikerswachtwoordkluizen gestolen.
Gelukkig kunnen cybercriminelen de gecodeerde wachtwoordkluizen niet ontgrendelen zonder de hoofdwachtwoorden, die alleen accounteigenaren kennen. Het bedrijf benadrukt dat hoofdwachtwoorden worden beschermd door de Zero Knowledge-architectuur, wat betekent dat zelfs LastPass deze niet kent.
LastPass heeft klanten echter gewaarschuwd dat de hackers "kunnen proberen brute kracht te gebruiken om uw hoofdwachtwoord te raden en ontsleutel de kopieën van de kluisgegevens die ze hebben gemaakt." Dit is waarschijnlijk gezien het feit dat de wachtwoordkluizen nu in handen zijn van de dreiging acteurs.
Naast de wachtwoordkluizen kregen hackers toegang tot een schat aan gegevens, waaronder namen, e-mailadressen, telefoonnummers en wat factuurgegevens. Getroffen eigenaren van LastPass-accounts zijn mogelijk ook kwetsbaar voor "phishing-aanvallen, referenties stuffing of andere brute force-aanvallen op online accounts" die zijn gekoppeld aan hun LastPass kluis.
Deze inbreuk op de beveiliging dient als een herinnering dat zelfs de beste wachtwoordbeheerders zijn kwetsbaar voor aanvallen. Het is altijd een goed idee om nooit hetzelfde wachtwoord te gebruiken voor al uw online accounts. In dit geval raadt LastPass aan om uw hoofdwachtwoord niet op andere websites te gebruiken. Beter nog, het is aan te raden om uw huidige LastPass-hoofdwachtwoord te vervangen door een unieke combinatie en uw account hiermee te beschermen tweefactorauthenticatie.