4 Januari 2023
LastPass had een verschrikkelijk 2022. De maker van een van de meest populaire password management tools leed aan een inbreuk op de beveiliging die ze openbaarden in een bulletin dat de komende 4 maanden voortdurend moest worden bijgewerkt naarmate er meer details werden ontdekt.
LastPass werkt door lokaal wachtwoorden te genereren, te coderen en te decoderen. De versleutelde wachtwoord ‘vault’ – beveiligd door een sleutel die is afgeleid van het door de klant gekozen master password – wordt opgeslagen in de cloud.
Eerste Openbaarmaking
Ze brachten op 25 Augustus 2022 een blogpost uit waarin ze beweerden dat “we have seen no evidence that this incident involved any access to customer data or encrypted password vaults.” en er was alleen toegang tot een ontwikkelomgeving via één account.
Ze publiceerden op 15 September 2022 een update dat het onderzoek van Mandiant was afgerond, en ze hielden vast aan de regel dat “controls prevented the threat actor from accessing any customer data or encrypted password vaults.”
Op 30 November 2022 gaven ze toe dat hun externe cloudopslagprovider was geschonden tijdens het incident.
Vervolgens gaf LastPass op 22 December 2022 toe dat een kopie van een back-up van vault data van klanten was gestolen bij de inbreuk.
LastPass adviseert momenteel alle klanten dat de vaults zijn gecodeerd met 256-bit AES en alleen kunnen worden gedecodeerd met een unieke coderingssleutel die is afgeleid van het master password van de gebruiker. LastPass beweert dat het master password “never known to LastPass and is not stored or maintained by LastPass”. De standaard master password settings en best practices zouden ervoor moeten zorgen dat “it would take millions of years to guess your master password”.
LastPass adviseert dat als u de standaard master password settings gebruikt en de beste werkwijzen volgt, waaronder het nooit hergebruiken van uw master password ergens anders, er “there are no recommended actions that you need to take at this time”. Als u echter niet de standaardwaarden gebruikt of het master password ergens anders gebruikt, moet u de wachtwoorden wijzigen voor elk item dat is opgeslagen in LastPass.
Vooruit Gaan
LastPass geeft in hun blogpost toe dat dit nog steeds een “lopend onderzoek” is. We weten niet of de situatie zal verslechteren. Op dit moment is er geen nieuws over LastPass-klanten die te maken hebben gehad met inbreuken in verband met gekraakte vaults, maar dat betekent niet dat dit niet zal gebeuren.
Als u een LastPass-klant bent, is het misschien tijd om al uw wachtwoorden te wijzigen. Spotit evalueert momenteel alternatieve password managers en zal onze bevindingen in de volgende update communiceren.
Alles voor nu!
James @ spotit