LastPass heeft een lange verklaring uitgegeven over de inbreuk die het enkele maanden geleden heeft ondervonden. Simpel gezegd: de zaken zijn niet goed.
Een paar weken geleden publiceerde LastPass een verklaring op zijn blog, waarin hij deelde dat dit het geval was een inbreuk heeft meegemaakt. Destijds ging Karim Toubba, de CEO van LastPass, niet in op alle details, maar vertelde hij alleen dat er een beveiligingsincident had plaatsgevonden met een externe cloudopslagdienst waar LastPass gebruik van maakt. Nu geeft het bedrijf een gedetailleerd overzicht van wat er is gebeurd, en dat is niet goed.
Toubba ging opnieuw naar de blog van het bedrijf om te delen wat het had gevonden met betrekking tot het incident. Volgens de post werden bij deze aanval geen klantgegevens aangetast, maar werden "broncode en technische informatie" gestolen. Helaas richtte de aanvaller zich met deze informatie vervolgens op een medewerker en verkreeg hij inloggegevens en sleutels die werden gebruikt om informatie op de cloudgebaseerde opslagdienst te ontsleutelen en er toegang toe te krijgen.
Vanaf hier had de aanvaller toegang tot accountinformatie zoals 'namen van eindgebruikers, factuuradressen, e-mailadressen, telefoonnummers en de IP-adressen waarvandaan klanten hadden toegang tot de LastPass-service." Bovendien werden klantkluisgegevens verkregen, die gecodeerde "website-gebruikersnamen en -wachtwoorden, beveiligde notities en formulier ingevulde gegevens."
Je vraagt je dus misschien af: wat betekent dit allemaal precies?
Nou, er is goed nieuws en slecht nieuws. Wat het goede nieuws betreft: de verzamelde gegevens zijn gecodeerd en vereisen voor het decoderen het hoofdwachtwoord van de gebruiker. Het slechte nieuws is dat als de aanvaller tijd heeft, hij zoveel wachtwoorden kan proberen als nodig is om de gegevens te ontsleutelen. LastPass erkent wel dat dit een mogelijkheid is, maar stelt wel dat het ‘uiterst moeilijk’ zou zijn, zolang het wachtwoord zelf maar een ingewikkelde.
LastPass waarschuwt ook dat phishing-aanvallen steeds vaker voorkomen, in een poging klanten te overrompelen en hoofdwachtwoorden te ontfutselen. Voor zover het nu mogelijk is, gaat het erom dat u alert blijft en niet ten prooi valt aan phishing-pogingen. Als het ongewoon of verdacht lijkt, onderzoek het dan. LastPass vereist al geruime tijd wachtwoorden van minimaal 12 tekens. Maar dit soort inbreuken kunnen voorkomen en als dat gebeurt, worden de zaken echt in perspectief geplaatst.
Het bedrijf probeert echter enige zekerheid te bieden door te beweren dat het miljoenen jaren zou duren om een complex wachtwoord te raden. Dit zou u natuurlijk niet gerust moeten stellen, aangezien er iemand is met uw gecodeerde gegevens. LastPass heeft wijzigingen aangebracht in zijn infrastructuur om inbreuken in de toekomst te voorkomen en heeft contact opgenomen met zakelijke klanten met een hoog risico met instructies.
Bron: LastPass