LastPass is voor de tweede keer in drie maanden tijd gehackt. Het wordt gebruikt door meer dan 30 miljoen mensen over de hele wereld. Wachtwoordbeheerder LastPass heeft erkend dat hackers gecodeerde kopieën van gebruikerswachtwoorden en andere gevoelige gegevens hebben gestolen, waaronder factuuradressen, telefoonnummers en IP-adressen van gebruikers. In eerste instantie werd het systeem in augustus gehackt, eind november - begin december verscheen informatie over welke gegevens waren gestolen, en nu heeft de blog van het bedrijf de details gepubliceerd.
De wachtwoordbeheerder LastPass is gehackt, wat zeer succesvol bleek voor de hackers zelf, ze wisten bij de gegevens van de gebruiker te komen, maar het is nog niet bekend wat precies. Het is waarschijnlijk dat ze nu toegang hebben tot de wachtwoorden die gebruikers van de dienst in hun profielen opslaan.
De informatie over de LastPass-hack en het compromitteren van gebruikersgegevens werd ook bevestigd door de vertegenwoordigers van de dienst zelf. Ze verbergen echter zorgvuldig zowel de omvang van het lek als de aard van de informatie die in de handen van de aanvallers terechtkwam, dus voorlopig lopen alle LastPass-gebruikers zonder uitzondering, dat zijn miljoenen mensen over de hele wereld, gevaar. Volgens het EarthWeb-portaal telde het LastPass-gebruikersbestand vanaf oktober 2022 33 miljoen mensen.
Tegen de tijd dat het materiaal werd vrijgegeven, bevestigden LastPass-vertegenwoordigers het lekken van de wachtwoorden van gebruikers in hun persoonlijke online opslag niet, maar ontkenden ze niet. Er bestaat echter een risico van precies zo'n resultaat van een hackeraanval. Bovendien, rekening houdend met het feit dat LastPass meer dan eens wachtwoorden heeft laten lekken in zijn 14-jarige bestaan, is het risico in dit geval groot.
Wat zal ik doen?
Het eerste wat gebruikers moeten doen, is kijken welke wachtwoorden in de cloud zijn opgeslagen en deze zo snel mogelijk wijzigen voordat aanvallers er specifiek bij komen. Veel mensen bewaren bijvoorbeeld wachtwoorden van een internetbank of zakelijke e-mail in dergelijke managers.
De tweede stap is het vinden, zo niet een vervanging voor LastPass, dan in ieder geval een back-upwachtwoordbeheerder van degenen die offline werken. Dergelijke programma's slaan de database met wachtwoorden rechtstreeks op het apparaat van de gebruiker op (vaak in versleutelde vorm), waardoor het risico dat de inhoud wordt gelekt aanzienlijk wordt verkleind.
Met wachtwoordbeheerders kunnen gebruikers hun gebruikersnamen en wachtwoorden op verschillende sites op één plek opslaan - toegankelijk met een door de gebruiker gemaakt hoofdwachtwoord. Last Pass slaat het hoofdwachtwoord niet op en verwijdert het niet. Andere gecodeerde gegevens kunnen alleen worden opgehaald met behulp van een "unieke coderingssleutel verkregen uit het hoofdwachtwoord van de gebruiker". Het bedrijf waarschuwde klanten echter dat ze het slachtoffer zouden kunnen worden van social engineering, phishing en andere methoden om informatie te verkrijgen. Bovendien kunnen hackers een brute force-aanval gebruiken om het hoofdwachtwoord te verkrijgen en andere gegevens in de versleutelde opslag te decoderen. LastPass beweert echter dat het aanvallers "miljoenen jaren" zal kosten om een wachtwoord te raden met behulp van openbaar beschikbare hacktechnieken.
Het bedrijf zei dat Mandiant, een bedrijf dat cyberbeveiliging biedt, het incident onderzoekt en dat LastPass zelf de hele werkomgeving volledig opnieuw opbouwt - dit geeft indirect aan dat de hackers bij belangrijke stukjes code en andere gegevens zijn gekomen.
LastPass zei ook dat het onderzoek aan de gang is en dat het bedrijf de wetshandhaving en relevante toezichthouders op de hoogte heeft gesteld van het incident. Zelf raadt ze gebruikers aan om het hoofdwachtwoord niet korter te maken dan 12 tekens, de instellingen van de Password-Based Key Derivation Function (PBKDF2) sleutelgeneratiestandaard te wijzigen en natuurlijk het hoofdwachtwoord niet op andere sites te gebruiken. Meer gedetailleerde actuele aanbevelingen worden gegeven in de serviceblog.
U kunt Oekraïne helpen vechten tegen de Russische indringers. De beste manier om dit te doen is door geld te doneren aan de strijdkrachten van Oekraïne via Red het leven of via de officiële pagina NBU.