LastPass is een bekende en vertrouwde naam op het gebied van wachtwoordbeveiliging, maar de geschiedenis van inbreuken kan u ertoe aanzetten een alternatief te overwegen.

Belangrijkste leerpunten

  • LastPass heeft in het verleden meerdere datalekken meegemaakt, waaronder één in 2015 waarbij e-mailadressen van gebruikers en hoofdwachtwoorden openbaar werden gemaakt. De meerderheid van de gebruikers die extra beveiligingslagen gebruikten, was echter waarschijnlijk veilig voor de inbreuk.
  • LastPass kreeg in 2021 kritiek toen werd ontdekt dat hun Android-app trackers van derden bevatte, wat aanleiding gaf tot bezorgdheid over de veiligheid. LastPass reageerde door te stellen dat de trackers werden gebruikt voor applicatietelemetrie en door gebruikers konden worden uitgeschakeld.
  • LastPass ondervond in 2022 een aanzienlijke inbreuk, waarbij aanvallers toegang kregen tot klantgegevens en gebruikerskluisinformatie. Deze inbreuk leidde tot verdere gevolgen voor LastPass en zijn moederbedrijf, GoTo, waaronder gestolen gecodeerde back-ups en bewijs van een geopende coderingssleutel.
  • Hoewel LastPass over het algemeen als veilig wordt beschouwd, hebben de vele inbreuken en beveiligingsincidenten ertoe geleid dat sommige gebruikers op zoek zijn gegaan naar alternatieve wachtwoordbeheerders die niet zijn aangetast.

Velen van ons gebruiken wachtwoordbeheerders om onze privégegevens veilig te houden, waarbij LastPass een van de populairste opties is die er zijn. Maar LastPass heeft te maken gehad met een groot aantal datalekken, waardoor gevoelige informatie van klanten in gevaar is gekomen.

Hoe vaak is LastPass gehackt en is het nog steeds veilig om te gebruiken?

1. LastPass 2015-schending

Beeldcredits: Ervins Strauhmanis/Flickr

De eerste LastPass-hack vond plaats in juni 2015, zeven jaar na de oprichting van het bedrijf. Bij deze ernstige inbreuk kwamen de e-mails en hoofdwachtwoorden van LastPass-gebruikers aan het licht, evenals de hint- of herinneringswoorden die werden gebruikt om hoofdwachtwoorden te onthouden. De hack werd opgemerkt toen LastPass verdachte netwerkactiviteit opmerkte, die al snel werd geblokkeerd. Er was echter al enige schade aangericht.

In een inmiddels verlopen briefje voor klanten (beschikbaar via het internetarchief) liet LastPass gebruikers weten dat degenen die extra beveiligingslagen zoals hashing en salting op hun wachtwoorden gebruikten, waarschijnlijk veilig waren voor de hack. Gelukkig maakt de meerderheid van de LastPass-gebruikers gebruik van deze beveiligingsmethoden, wat betekent dat slechts een klein deel van de klanten de kans liep erdoor getroffen te worden.

LastPass verklaarde ook dat het niet geloofde dat er toegang was tot gebruikersaccounts vanwege de aanval, maar drong er wel op aan gebruikers kunnen hun e-mailadres verifiëren en elke week vernieuwen of herhaaldelijk hoofdwachtwoorden gebruiken om te boosten beveiliging.

Een paar weken na de hack, LastPass heeft een blogpost gepubliceerd waarin staat dat de beveiliging ervan is verbeterd sinds de hack, waarbij een reeks kleine en grote wijzigingen zijn aangebracht om klanten verder te beschermen. Onderdeel van deze wijzigingen was de introductie van Hardware Security Modules (HSM's), die de cryptografische infrastructuur van LastPass beschermen.

2. LastPass 2021 Tracking-incident

Hoewel LastPass in 2021 niet werd gehackt, kwam het wel in de problemen toen bleek dat de Android-app trackers van derden bevatte. In februari 2021 onthulde een beveiligingsanalyse-app genaamd Exodus Privacy dat deze zeven trackers had gevonden in de LastPass Android-app, wat argwaan wekte bij gebruikers. Beveiligingsonderzoeker Mike Kuketz gaf commentaar op de ontdekking in een Kuketz IT Security-blogpost, waarin staat dat "het volkomen uitgesloten is om [advertenties en trackers] te integreren in apps voor wachtwoordbeheer."

Kuketz vermeldde ook de zeven trackers die te vinden zijn in de LastPass Android-app, waaronder trackers van Google Analytics, Segment en AppsFlyer. Het op deze manier verlenen van toegang tot marketinganalyseplatforms werd veroordeeld door Kuketz, die schreef dat de aanpak van LastPass "uiterst twijfelachtig is in termen van beveiliging".

Kuketz onderstreepte dat de LastPass Android-app handmatig moest worden gecontroleerd om te bepalen of de trackers gebruikers actief in de gaten hielden. De aanwezigheid van alleen al de trackers werd door Kuketz echter opgemerkt als een slechte gewoonte voor een app die prioriteit moet geven aan beveiliging.

Als reactie op deze kritiek heeft LastPass heeft gebruikers geïnformeerd dat het analysetools gebruikt. LastPass benadrukte dat dit werd gedaan om inzicht te krijgen in "applicatie-telemetrie, fout- en crashrapportagegegevens, evenals gebruiksstatistische informatie op hoog niveau om uiteindelijk de algehele prestaties, betrouwbaarheid en bruikbaarheid van [de app]."

Er werd ook vermeld dat het analyse-element van de LastPass-app een optionele functie was die gebruikers konden uitschakelen in hun geavanceerde instellingen. Maar hoe dan ook, de aanwezigheid van trackers in de LastPass Android-app liet een slechte smaak achter in de mond van beveiligingsanalisten en gebruikers.

3. LastPass 2022-inbreuken

Het duurde enige tijd voordat LastPass na het eerste incident in 2015 opnieuw met een cyberaanval te maken kreeg. Maar in 2022 kwam er inderdaad weer een aanval. Dit was een bijzonder moeilijk jaar voor LastPass, waarbij een eerste hack in augustus schokgolven veroorzaakte die zouden voortduren tot in 2023.

Begin augustus 2022 werd LastPass zich bewust van een inbreuk waarbij een hacker de laptop van een LastPass-ontwikkelaar had gecompromitteerd om de broncode te stelen en toegang te krijgen tot het cloudgebaseerde ontwikkelingsplatform van het bedrijf. De hacker omzeilde de multifactor-authenticatiebeveiliging op het account van de ingenieur door zichzelf met succes te authenticeren als gebruiker. Hoewel dit een zeer zorgwekkend incident was, heeft de hacker geen klantinformatie opgehaald.

Maar een paar maanden later werd het nog erger. In december 2022 kondigde LastPass aan dat de hack van augustus aanvallers een weg had gegeven naar gevoeligere delen van de infrastructuur, die voor het eerst in november werd uitgebuit. Deze keer, hackers hebben toegang gekregen tot LastPass-klantgegevens, inclusief e-mail- en IP-adressen, telefoonnummers en namen. Bovendien werden bepaalde soorten gebruikerskluisgegevens openbaar gemaakt, waaronder opgeslagen gebruikersnamen en wachtwoorden voor online accounts.

Onnodig te zeggen dat LastPass zich nu in zeer heet water bevond en dat de zaken in 2023 niet zouden stoppen.

De nawerkingen van 2023

Hoewel 2023 geen nieuwe hacks voor LastPass bracht, bracht het wel steeds meer verontrustende informatie over de exploits van 2022.

In januari 2023 bracht het moederbedrijf van LastPass, GoTo, een verklaring uit over de gevolgen van de hacks van 2022. De verklaring van GoTo legde uit dat verschillende andere diensten van het bedrijf, waaronder Central, Hamachi, Pro, join.me en RemotelyAnywhere, ook het doelwit waren van aanvallers via een cloudopslagapparaat van derden. Van dit apparaat stalen aanvallers versleutelde back-ups. Bovendien onthulde GoTo dat het bewijs had gevonden dat erop wees dat er ook toegang was tot een coderingssleutel voor sommige van de gestolen back-ups.

In februari 2023 kwam LastPass opnieuw in het nieuws toen werd onthuld dat er tussen de eerste en de tweede hack van 2022 meer kwaadaardige acties waren ondernomen door aanvallers.

Zoals gedocumenteerd in het X-bericht hierboven, de hackers van november 2022 heeft de thuiscomputer van een senior LastPass-ontwikkelaar gecompromitteerd via een kwetsbaarheid in softwaremedia. Nadat ze de computer hadden gehackt, installeerden hackers een keylogger, waardoor ze konden zien wat de ontwikkelaar op hun toetsenbord typte.

Hierdoor kregen aanvallers toegang tot het hoofdwachtwoord van de LastPass-bedrijfskluis van de ontwikkelaar, waardoor aanvallers toegang kregen tot de kluis zelf. Wat hier schokkend is, is dat slechts vier senior LastPass-ontwikkelaars toegang hadden tot de bedrijfskluis, en dat aanvallers er nog steeds in slaagden om met succes één zo'n ontwikkelaar aan te vallen.

Hackers gebruikten ook de in 2022 gestolen gebruikersgegevens om in oktober 2023 $4,4 miljoen aan cryptocurrency te stelen. Er wordt aangenomen dat de aanvallers bij de tweede inbreuk in 2022 toegang hebben gekregen tot de zaadzinnen en sleutels van crypto-portemonnees, waardoor ze portemonnees konden hacken en crypto naar het gewenste adres konden opnemen.

LastPass heeft een volledige lijst met gegevens waartoe toegang is verkregen tijdens de hacks van 2022 als je alles wilt zien wat aan het licht kwam als gevolg van de incidenten in 2022.

Is LastPass nog steeds veilig te gebruiken?

Hoewel LastPass al sinds 2008 in gebruik is, hebben de meeste datalekken en beveiligingsincidenten zich in de jaren 2020 voorgedaan. Gezien de vele beveiligingsproblemen uit het verleden, is het normaal dat u een beetje nerveus bent over het gebruik van LastPass, dus wat is het oordeel hier? Is LastPass veilig in gebruik of moet je voor iets anders kiezen?

Hoewel het veiliger is om LastPass te gebruiken dan een eenvoudige notitie-app of een vergelijkbare opslagoptie, zijn er tegenwoordig misschien wel betere wachtwoordmanagers beschikbaar. Met zoveel problemen op het gebied van beveiliging is LastPass voor velen een no-go geworden, omdat men niet weet wanneer er weer een inbreuk zal plaatsvinden. Nu 2022 zoveel problemen veroorzaakt voor LastPass en zijn gebruikers, is het geen verrassing dat sommige gebruikers de overstap hebben gemaakt en hebben gekozen voor wachtwoordmanagers die nog niet zijn gehackt.

Dashlane en NordPass zijn slechts twee voorbeelden van zeer gerenommeerde wachtwoordbeheerders die nog nooit een inbreuk op de beveiliging hebben geleden: het is dus zeker mogelijk om een ​​wachtwoordbeheerder te vinden waaraan zijn klantgegevens of werknemersportals niet zijn blootgesteld hackers.

Als u momenteel LastPass gebruikt maar ergens anders heen wilt, bekijk dan onze handleiding op uw LastPass-account verwijderen. We hebben ook een handige handleiding over de veiligste wachtwoordmanagers als u hulp nodig heeft bij het kiezen van een vervanging.

De beveiligingsincidenten van LastPass maken het echter niet tot een onveilige wachtwoordbeheerder. De app heeft nog steeds veel handige functies voor het beschermen van gevoelige inloggegevens en is gemakkelijk te gebruiken, ongeacht de technische kennis.

LastPass is niet de koning van wachtwoordbeheer

Er is niets mis met het gebruik van LastPass om wachtwoorden op te slaan, aangezien de app over het algemeen redelijk veilig is. Het is echter de moeite waard om de superveilige alternatieven te vermelden als u ervoor wilt zorgen dat uw gevoelige informatie zo effectief mogelijk wordt opgeslagen.