Persoonlijke gegevens en wachtwoordkluizen met de inloggegevens van miljoenen gebruikers zijn nu in handen van criminelen. Als je ooit de wachtwoordbeheerder, LastPass, hebt gebruikt, moet je nu al je wachtwoorden voor alles wijzigen. En u moet onmiddellijk verdere maatregelen nemen om uzelf te beschermen.
Wat is er gebeurd bij het LastPass-gegevenslek in 2022?
LastPass is een wachtwoordbeheerservice die werkt op een "freemium"-model. Gebruikers kunnen al hun wachtwoorden en aanmeldingen voor online services opslaan met LastPass en ze openen via de webinterface, via browser-add-ons en via speciale smartphone-apps.
Wachtwoorden worden opgeslagen in "kluizen", die worden beschermd door een enkel hoofdwachtwoord.
In augustus 2022 kondigde LastPass aan dat criminelen een gecompromitteerd ontwikkelaarsaccount hadden gebruikt om toegang te krijgen tot de LastPass-ontwikkelomgeving, broncode en technische informatie.
Verdere details werden vrijgegeven in november 2022, toen LastPass eraan toevoegde dat sommige klantgegevens waren vrijgegeven.
De ware ernst van de inbreuk werd onthuld op 22 december, toen een LastPass-blogpost merkte op dat criminelen een deel van de informatie die bij de eerdere aanval was verkregen, hadden gebruikt om back-upgegevens te stelen inclusief klantnamen, adressen en telefoonnummers, e-mailadressen, IP-adressen en gedeeltelijke creditcard nummers. Bovendien slaagden ze erin om wachtwoordkluizen van gebruikers te stelen die niet-versleutelde website-URL's en sitenamen bevatten, evenals versleutelde gebruikersnamen en wachtwoorden.
Is het moeilijk voor criminelen om uw LastPass-hoofdwachtwoord te kraken?
In theorie zouden hackers het inderdaad moeilijk moeten vinden om je hoofdwachtwoord te kraken. De LastPass-blogpost merkt op dat als je hun standaard aanbevolen instellingen gebruikt, "het miljoenen jaren zou duren om je hoofdwachtwoord te raden met behulp van algemeen beschikbare technologie voor het kraken van wachtwoorden."
LastPass vereist dat het hoofdwachtwoord minimaal 12 tekens lang is en raadt aan "uw hoofdwachtwoord nooit opnieuw te gebruiken op andere websites".
LastPass is echter uniek onder de wachtwoordbeheerservices omdat het gebruikers in staat stelt een wachtwoordhint in te stellen om hen aan hun hoofdwachtwoord te herinneren als ze dit kwijtraken.
In feite moedigt dit gebruikers aan om woorden en zinsdelen uit het woordenboek te gebruiken als onderdeel van hun wachtwoord, in plaats van een echt willekeurig sterk wachtwoord. Geen wachtwoordhint zal helpen als uw wachtwoord "lVoT=.N]4CmU" is.
De LastPass-wachtwoordkluizen zijn al een tijdje in handen van criminelen en hoewel ze versleuteld zijn, zullen ze uiteindelijk onderhevig zijn aan aanvallen met brute kracht.
Aanvallers zullen hun werk gemakkelijker vinden dankzij het bestaan van enorme databases met veelgebruikte wachtwoorden. U kunt een wachtwoordlijst van 17 GB downloaden met de 613 miljoen meest voorkomende wachtwoorden ben gepwnd, bijvoorbeeld. Andere lijsten met wachtwoorden en referenties zijn beschikbaar op het dark web.
Het zou minuten duren om elk van de half miljard meest voorkomende sleutels tegen een individuele kluis uit te proberen, en hoewel relatief weinig de vereiste 12 tekens zouden zijn, is het waarschijnlijk dat cybercriminelen gemakkelijk in staat zullen zijn om in te breken in een groot deel van de gewelven.
Voeg daarbij het feit dat de rekenkracht jaar na jaar toeneemt en dat gemotiveerde criminelen gedistribueerde netwerken kunnen gebruiken om te helpen bij de inspanning; "miljoenen jaren" lijkt voor de meeste accounts niet haalbaar.
Heeft de LastPass-schending alleen invloed op wachtwoorden?
Hoewel het belangrijkste nieuws is dat criminelen hun tijd kunnen nemen om in te breken in uw LastPass-kluis, kunnen ze hier misbruik van maken van u op andere manieren door uw naam, adres, telefoonnummer, e-mailadres, IP-adres en gedeeltelijke creditcard te gebruiken nummer.
Deze kunnen voor een aantal snode doeleinden worden gebruikt, waaronder spearphishing-aanvallen tegen u en uw contacten, identiteitsdiefstal, kredieten en leningen op uw naam afsluiten en SIM-swapaanvallen.
Hoe kunt u uzelf beschermen na de datalekken van LastPass?
U moet ervan uitgaan dat uw hoofdwachtwoord binnen een paar jaar gecompromitteerd zal zijn en dat alle wachtwoorden die erin staan bekend zullen zijn bij criminelen. U moet ze nu wijzigen en unieke wachtwoorden gebruiken die u nog nooit eerder hebt gebruikt en die niet in een van de veelgebruikte wachtwoordlijsten staan.
Met betrekking tot de andere datacriminelen verkregen van LastPass, u moet uw tegoed bevriezenen schakel een kredietbewakingsdienst in om nieuwe kaart- of leningaanvragen op uw naam te controleren. Als u uw telefoonnummer zonder al te veel ongemak kunt wijzigen, moet u dat ook doen.
Neem de verantwoordelijkheid voor uw eigen veiligheid
Het is gemakkelijk om LastPass de schuld te geven van de datalekken waarbij uw wachtwoordkluizen en persoonlijke gegevens in handen van criminelen vielen, maar services voor wachtwoordbeheer die uw leven beveiligen en u helpen unieke combinaties te genereren, zijn nog steeds de beste manier om uw online te beveiligen leven.
Een manier om het voor potentiële dieven moeilijker te maken om uw vitale gegevens te bemachtigen, is door een wachtwoordbeheerder op uw eigen hardware te hosten. Het is goedkoop, gemakkelijk te doen en sommige oplossingen, zoals VaultWarden, kunnen zelfs op een Raspberry Pi Zero worden ingezet.