Het moederbedrijf van de wachtwoordbeheerservice, LastPass, dat eind 2022 onthulde dat de wachtwoordkluizen van zijn volledige klantenbestand nu in handen was van criminelen, heeft aangekondigd dat de encryptiesleutels voor enkele van zijn andere producten zijn versleuteld ook gecompromitteerd.
Wat betekent dit voor de gebruikers?
Wat was het LastPass-gegevenslek in 2022?
LastPass en zijn klanten hadden niet het beste jaar in 2022. In augustus maakte het bedrijf ingetogen bekend blogpost dat criminelen toegang hadden tot de LastPass-ontwikkelomgeving, broncode en technische informatie. De taal was geruststellend en verwees naar "ongebruikelijke activiteit" en het incident als "een ontwikkeling". Een sectie met veelgestelde vragen stelde klanten gerust dat hun kluizen, wachtwoorden en hoofdwachtwoorden veilig waren, terwijl ze zeiden: "we raden geen enkele actie aan namens onze gebruikers of beheerders".
Een maand later, na een onderzoek in samenwerking met Mandiant, werd de oorspronkelijke blogpost geüpdatet om LastPass-gebruikers nog meer gerust te stellen dat er was, "geen bewijs dat dit incident enige toegang tot klantgegevens of gecodeerde wachtwoordkluizen inhield", en betuttelde gebruikers verder met de erkenning dat "beveiligingsincidenten van welke aard dan ook verontrustend zijn, maar [we] willen u verzekeren dat uw persoonlijke gegevens en wachtwoorden veilig zijn in onze zorg."
Eind november 2022 werd de blog echter opnieuw bijgewerkt, in de bekentenis dat de indringers erin waren geslaagd om "bepaalde elementen van de informatie van onze klanten" weg te werken.
Eindelijk, in een update van december 2022 bezat LastPass het op het feit dat criminelen erin waren geslaagd om de kluizen met persoonlijke gegevens van miljoenen klanten te exfiltreren, die niet-versleutelde website-URL's en sitenamen bevatten, evenals gecodeerde gebruikersnamen en wachtwoorden, samen met back-upgegevens, waaronder klantnamen, adressen en telefoonnummers, e-mailadressen, IP-adressen en gedeeltelijke creditcardgegevens nummers.
Nogmaals, LastPass probeerde de reputatieschade in te perken door te stellen dat "het miljoenen jaren zou kosten om uw hoofdwachtwoord te raden met behulp van algemeen beschikbare technologie voor het kraken van wachtwoorden."
Erger nog voor LastPass-gebruikers?
LastPass is een onafhankelijk bedrijf, eigendom van GoTo (een SaaS-provider, voorheen bekend als LogMeIn), en hoewel de LastPass-inbreuk de meeste let op, de eerste penetratie was van een cloudopslagservice van derden, die wordt gebruikt door zowel GoTo als LastPass. Zoals LastPass werd gecompromitteerd, was GoTo dat ook. Bedreigingsactoren slaagden erin versleutelde back-ups van beide bedrijven te exfiltreren.
Op 23 januari 2023, GoTo heeft een verklaring op zijn blog gepubliceerd waarin staat dat het "bewijs heeft dat een bedreigingsactor een coderingssleutel heeft geëxfiltreerd voor een deel van de gecodeerde back-ups", en bovendien dat Instellingen voor Multi-Factor Authentication (MFA). van een klein deel van hun klanten werden getroffen.
Dit betekent dat de criminelen hun gestolen goederen gemakkelijk kunnen ontsleutelen zonder dat ze daar miljoenen jaren op hoeven te wachten.
Het is onzeker of de coderingssleutels van de LastPass-kluis ook zijn geëxfiltreerd.
Meldingen van gecompromitteerde LastPass-kluizen
Bijna zodra de update van december werd gepubliceerd, werd MUO gecontacteerd door lezers die beweerden dat het eenmalige wachtwoorden waren die alleen in LastPass-kluizen waren opgeslagen, werden door criminelen gebruikt om toegang te krijgen tot online accounts, wat resulteerde in sim-swapping aanvallen.
Op Twitter meldden gebruikers dat crypto-portemonnees werden aangevallen en leeggemaakt van hun inhoud - die zaden werden naar verluidt uitsluitend opgeslagen in LastPass-kluizen.
Tot nu toe heeft LastPass niet ingegaan op deze geruchten, noch op de onthullingen van het moederbedrijf.
GoTo is in ieder geval begonnen contact op te nemen met getroffen gebruikers en alle wachtwoorden zijn automatisch gereset.
Wijzig uw wachtwoorden voor alles
Er zijn wachtwoordbeheerservices om uw wachtwoorden veilig en onraadbaar te houden. Als criminelen de sleutels van die kluis hebben, mag iedereen uw wachtwoorden gebruiken zoals ze willen.
Het eerste dat u moet doen, is uw wachtwoorden wijzigen voor elke service die u ooit online hebt gebruikt. Gebruik waar mogelijk ook een unieke gebruikersnaam en e-mailadres.
Het is nooit een goed idee om je diepste geheimen aan iemand anders toe te vertrouwen om te beschermen. BitWarden is een wachtwoordbeheerder die u op uw eigen hardware kunt hosten en die gebruikersnamen, e-mailaliassen en wachtwoorden genereert voor elke site die u bezoekt. Aangezien u het op uw eigen computer uitvoert, hoeft u uw wachtwoorden niet over te laten aan de dubieuze zorg van een ander bedrijf.