Opmerking: het volgende artikel zal u helpen met: LastPass onthult hoe het werd gehackt – en dat is geen goed nieuws
Vorig jaar was een bijzonder slecht jaar voor wachtwoordbeheerder LastPass, omdat een reeks hackincidenten ernstige zwakke punten in de zogenaamd solide beveiliging aan het licht brachten. We weten nu precies hoe deze aanvallen zich hebben ontwikkeld – en de feiten zijn adembenemend.
Het begon allemaal in augustus 2022, toen LastPass onthulde dat een cybercrimineel de broncode van de app had gestolen. Bij een tweede daaropvolgende aanval combineerde de hacker deze gegevens met informatie gevonden in een afzonderlijk datalek en maakte vervolgens misbruik van een zwak punt in een applicatie voor externe toegang die werd gebruikt door LastPass-medewerkers. Hierdoor konden ze een keylogger installeren op de computer van een senior ingenieur bij het bedrijf.
Toen deze keylogger eenmaal geïnstalleerd was, konden hackers het LastPass-hoofdwachtwoord van de ingenieur onderscheppen zodra het werd ingevoerd, waardoor ze toegang kregen tot de kluis van de medewerker – en alle geheimen die deze bevatte.
Ze gebruikten deze toegang om de inhoud van de kluis te exporteren. De gegevens omvatten decoderingssleutels die nodig zijn om back-ups van klanten te decoderen die zijn opgeslagen op het LastPass-cloudopslagsysteem.
Dit is belangrijk omdat LastPass productieback-ups en kritieke databaseback-ups in de cloud opslaat. Ook werd een grote hoeveelheid gevoelige klantgegevens gestolen, al lijkt het erop dat de hackers deze niet hebben kunnen ontsleutelen. Op de LastPass-ondersteuningspagina wordt gedetailleerd beschreven wat er is gestolen.
Twijfelachtige transparantie
Gelukkig voor LastPass-gebruikers lijkt het erop dat de meest gevoelige klantgegevens – zoals (de meeste) e-mailadressen en wachtwoorden – zijn gecodeerd met behulp van een ‘zero-knowledge’-methode. Dit betekent dat ze zijn gecodeerd met een sleutel die is afgeleid van het hoofdwachtwoord van elke gebruiker en die onbekend is bij LastPass. Toen hackers LastPass-gegevens stalen, konden ze deze decoderingssleutels niet verkrijgen omdat ze nergens door LastPass waren opgeslagen.
Dat gezegd hebbende, hebben cybercriminelen veel belangrijke gegevens verzameld. Dit omvat LastPass multi-factor authenticatie databaseback-ups, API-geheimen, klantmetagegevens, configuratiegegevens en meer. Daarnaast lijken ook meerdere producten buiten LastPass getroffen te zijn.
Op zijn ondersteuningssite zei LastPass dat de manier waarop de tweede aanval werd uitgevoerd (met behulp van de authentieke inloggegevens van een medewerker) het moeilijk maakte om deze te detecteren. Het bedrijf realiseerde zich eindelijk dat er iets mis was toen het AWS GuardDuty Alerts-systeem het waarschuwde dat iemand zijn Cloud Identity- en Access Management-rollen probeerde te gebruiken om ongeautoriseerde activiteiten uit te voeren.
LastPass heeft de afgelopen maanden veel kritiek gekregen op de aanpak van aanvallen, en het is onwaarschijnlijk dat die afkeuring zal afnemen in het licht van de laatste onthullingen. Eén beveiligingsbedrijf ging zelfs zo ver om te zeggen dat LastPass geen betrouwbare app is en dat gebruikers moeten overstappen op andere wachtwoordbeheerders.
Op dit moment probeert LastPass blijkbaar ondersteuningspagina’s voor aanvallen te verbergen voor zoekmachines door de code “” aan de pagina’s toe te voegen. Dit zal het voor gebruikers (en de wereld) alleen maar moeilijker maken om erachter te komen wat er is gebeurd, en het lijkt niet te gebeuren in de geest van transparantie en verantwoordelijkheid. Er werd ook niets op de bedrijfsblog gepubliceerd.
Als u LastPass-klant bent, kunt u wellicht beter een alternatieve app zoeken. Gelukkig zijn er nog veel meer uitstekende wachtwoordbeheerders die uw belangrijke informatie betrouwbaar kunnen beschermen.
