Deel broncode LastPass gestolen door hackers

Gepubliceerd op 26 augustus 2022 om 13:19

LastPass komt met een melding dat het bedrijf getroffen is door een datalek. Een hacker slaagde erin om delen van de ontwikkelaarsomgeving te infiltreren en “een aantal technische gegevens” buit te maken. Er zijn geen aanwijzingen dat er klantgegevens of wachtwoorden zijn buitgemaakt.

Gehackt ontwikkelaarsaccount

Het voorval deed zich twee weken geleden voor. LastPass zag toen “ongebruikelijke activiteiten” binnen delen van de ontwikkelaarsomgeving. De ontwikkelaar van de password manager kwam daarop direct in actie. IT-medewerkers constateerden dat een onbevoegde partij toegang had weten te verschaffen tot de interne systemen van het bedrijf via een gecompromitteerde ontwikkelaarsaccount.

Daarbij heeft hij delen van de broncode en “een aantal technische gegevens” van LastPass gekopieerd. Toubba zegt dat alle producten en diensten van LastPass normaal werken. Verder vertelt de topman dat er geen aanwijzingen zijn dat de dader toegang had tot klantgegevens of versleutelde wachtwoordkluizen.

Volgens de CEO is alles onder controle en zijn er aanvullende beveiligingsmaatregelen genomen om andere hackers buiten de deur te houden. Het onderzoek naar de toedracht van de datadiefstal is nog in volle gang. LastPass heeft daarbij de hulp ingeroepen van een niet-nader genoemd cybersecuritybedrijf dat forensisch onderzoek verricht. Er zijn geen signalen van andere ongeautoriseerde activiteiten door de dader of daders.

LastPass legt in een FAQ uit dat er geen hoofd- of kluiswachtwoorden zijn bemachtigd door de aanvaller. Het bedrijf zegt dat het deze toegangscodes niet bewaard. “We maken gebruik van een industriestandaard genaamd Zero Knowledge architectuur die ervoor zorgt dat LastPass nooit kan weten of toegang kan krijgen tot het hoofdwachtwoord van onze klanten”, zo legt LastPass uit.

Toubba benadrukt dat het incident zich beperkt tot de LastPass-ontwikkelaarsomgeving. “Ons onderzoek heeft geen bewijs opgeleverd van ongeoorloofde toegang tot versleutelde kluisgegevens. Ons Zero Knowledge model garandeert dat alleen de klant toegang heeft tot het decoderen van kluisgegevens”, aldus de algemeen directeur.

Advies LastPass

Tot slot laat LastPass weten dat er voor klanten geen aanleiding is actie te ondernemen. Het is dus niet nodig om het kluiswachtwoord of andere wachtwoorden van online accounts aan te passen. Vanzelfsprekend adviseert het bedrijf om een sterk hoofdwachtwoord te kiezen: het kraken van de digitale kluis is daardoor een stuk lastiger. LastPass raadt aan om je kluiswachtwoord ten minste 12 karakters lang te maken, hoofd- en kleine letters en symbolen door elkaar te gebruiken en geen persoonlijke informatie in het hoofdwachtwoord te vermelden (zoals een geboortedatum of woonadres).

Veelgestelde vragen over het incident

Reactie LastPasas

1. Is mijn hoofdwachtwoord gehackt/gestolen?

Nee. Dit incident heeft uw hoofdwachtwoord niet in gevaar gebracht. We slaan uw hoofdwachtwoord nooit op of hebben er kennis van. We maken gebruik van een industriestandaard Zero Knowledge-architectuur die ervoor zorgt dat LastPass nooit kan weten of toegang kan krijgen tot het hoofdwachtwoord van onze klanten. U kunt hier lezen over de technische implementatie van Zero Knowledge. 

2. Zijn er gegevens in mijn kluis gehackt/gestolen?  

Nee. Dit incident deed zich voor in onze ontwikkelomgeving. Ons onderzoek heeft geen bewijs aangetoond van ongeoorloofde toegang tot versleutelde kluisgegevens. Ons zero knowledge model zorgt ervoor dat alleen de klant toegang heeft tot het decoderen van kluisgegevens.  

3. Zijn er persoonlijke klantgegevens gestolen?

Nee. Ons onderzoek heeft geen bewijs opgeleverd van ongeoorloofde toegang tot klantgegevens in onze productieomgeving.  

4. Wat moet ik doen om mezelf en mijn kluisgegevens te beschermen?  

Op dit moment raden we geen actie aan namens onze gebruikers of beheerders. Zoals altijd raden we u aan onze best practices te volgen met betrekking tot het instellen en configureren van LastPass, die u hier kunt vinden. 

5. Hoe kan ik meer informatie krijgen? 

We zullen onze klanten blijven updaten met de nodige informatie.

Wat is LastPass?

LastPass is een van de grootste 'wachtwoord beheer bedrijven' ter wereld en beweert te worden gebruikt door meer dan 33 miljoen mensen en 100.000 bedrijven.

Omdat consumenten en bedrijven de software gebruiken om wachtwoorden veilig op te slaan zijn er ook altijd zorgen als het bedrijf zou worden gehackt de opgeslagen gegevens en wachtwoorden in handen zouden komen van cybercriminelen.

LastPass slaat wachtwoorden echter op in 'gecodeerde kluizen' die alleen kunnen worden gedecodeerd met behulp van het hoofdwachtwoord van de klant, waarvan LastPass zegt dat het niet is gehackt bij deze cyberaanval.

Vorig jaar kreeg LastPass te maken met een credential stuffing-aanval waarmee cybercriminelen het hoofdwachtwoord van een gebruiker konden bemachtigen. Er werd ook onthuld dat LastPass-hoofdwachtwoorden zijn gestolen door cybercriminelen die de 'RedLine password-stealing malware' verspreiden.

Daarom is het van vitaal belang om multifactorauthenticatie in te schakelen op uw LastPass-accounts, zodat cybercriminelen geen toegang hebben tot uw account, zelfs als uw wachtwoord is gehackt.

Notice Of Recent Security Incident
PDF – 46,8 KB 162 downloads

Bron: anoniem, therecord.media, lastpass.com, vpngids.nl

Meer info over hacking  en datalekken

Meer hacking nieuws

Apple: “Installeer per direct de beveiligingsupdate”

Software- en elektronicagigant Apple roept gebruikers van iPhones, MacBooks, iPads en horloges op om zo spoedig mogelijk een beveiligingsupdate te installeren. Dat heeft alles te maken met een ernstig beveiligingslek in de iMessage-app: het was mogelijk om zonder enige interactie van de gebruiker de zogenaamde Pegasus-spyware te installeren. Daarmee kunnen foto's en e-mails worden gestolen, maar ook de microfoon en camera kunnen op afstand worden ingeschakeld.

Lees meer »

Hoe hackers al uw sms-berichten kunnen zien en 2FA-beveiliging kunnen omzeilen

Voor een veilige toegang tot online diensten van vandaag is het niet voldoende om alleen een login en een sterk wachtwoord te gebruiken. Een recent onderzoek heeft uitgewezen dat meer dan 80% van alle hack aanvallen te wijten zijn aan zwakke wachtwoorden. Daarom is het gebruik van tweefactorauthenticatie (2FA) een noodzaak geworden. Het biedt een extra beveiligingslaag. Volgens de gegevens blokkeren gebruikers die 2FA inschakelen ongeveer 99,9% van de geautomatiseerde aanvallen. 

Lees meer »

"Criminelen spelen handig in op de behoefte om overal maar online te zijn"

Inloggen op een website, terwijl je verbinding maakt met een openbare wifi-verbinding. De meeste Nederlanders kennen de risico’s, toch past het merendeel z’n surfgedrag niet aan. Vooral jongeren zijn laks. Dat blijkt uit onderzoek van VPN.nl onder 1.075 Nederlanders, uitgevoerd door Panelwizard. Alleen in Nederland zijn er al zo’n 2 miljoen gratis wifi-hotspots, bijvoorbeeld bij treinstations, luchthavens, hotels, campings en horecagelegenheden.

Lees meer »

Energietransite biedt kansen voor hackers

De overgang naar een duurzame energievoorziening maakt het Nederlandse stroomnet kwetsbaarder voor hackers. Als zij zonnepanelen en laadpalen hacken, kan dat grote maatschappelijke en economische gevolgen hebben. Extra toezicht moet problemen voorkomen.

Lees meer »

Pas op met "updaten van Kaseya"

Hackers proberen munt te slaan uit de crisis rondom de VSA-software van ICT-dienstverlener Kaseya. Ze hebben een spamcampagne opgezet waarbij ze potentiële slachtoffers proberen over te halen om een beveiligingsupdate te installeren die de kwetsbaarheid in VSA verhelpt. In werkelijkheid halen nietsvermoedende slachtoffers een Cobalt Strike payload binnen die een achterdeur toevoegt aan het bedrijfsnetwerk. Op deze manier proberen ze het netwerk binnen te glippen en malware te installeren.

Lees meer »