Als je jouw wachtwoorden aan LastPass hebt toevertrouwd dan is het misschien tijd om te gaan denken over een andere oplossing, want LastPass heeft de twijfelachtige ‘eer’ dat ze voor de tweede keer in relatief korte tijd gehackt zijn. En dat komt weer bovenop de hack van vorig jaar.

Die leek de meest serieuze van de drie, want daarin leken de zogenaamde ‘master passwords’ buit gemaakt te zijn. Tenminste, dat werd door meerdere gebruikers gemeld, het bedrijf zelf ontkende dat en had het over “third-party breaches related to other unaffiliated services”. Over de de meest recente hack kan je lezen in deze blog-post van Karim Toubba, de CEO van LastPass.



Hieronder de complete tekst van deze blog-post, met daaronder de vrije vertaling ervan.

To All LastPass Customers,

In keeping with our commitment to transparency, I wanted to inform you of a security incident that our team is currently investigating.

We recently detected unusual activity within a third-party cloud storage service, which is currently shared by both LastPass and its affiliate, GoTo. We immediately launched an investigation, engaged Mandiant, a leading security firm, and alerted law enforcement.

We have determined that an unauthorized party, using information obtained in the August 2022 incident, was able to gain access to certain elements of our customers’ information. Our customers’ passwords remain safely encrypted due to LastPass’s Zero Knowledge architecture.

We are working diligently to understand the scope of the incident and identify what specific information has been accessed. In the meantime, we can confirm that LastPass products and services remain fully functional. As always, we recommend that you follow our best practices around setup and configuration of LastPass, which can be found here.

As part of our efforts, we continue to deploy enhanced security measures and monitoring capabilities across our infrastructure to help detect and prevent further threat actor activity.

We thank you for your patience while we work through our investigation. As is our practice, we will continue to provide updates as we learn more.

Karim Toubba

LastPass CEO

Aan alle LastPass klanten,

In overeenstemming met ons streven naar transparantie, wilde ik u informeren over een beveiligingsincident dat ons team momenteel onderzoekt.

We hebben onlangs ongewone activiteiten ontdekt binnen een cloudopslagdienst van een derde partij, die momenteel wordt gedeeld door zowel LastPass als zijn dochteronderneming GoTo. We hebben onmiddellijk een onderzoek ingesteld, Mandiant, een toonaangevend beveiligingsbedrijf, ingeschakeld en de politie gewaarschuwd.

We hebben vastgesteld dat een onbevoegde partij, met behulp van informatie verkregen tijdens het incident in augustus 2022, in staat was om toegang te krijgen tot bepaalde elementen van de informatie van onze klanten. De wachtwoorden van onze klanten blijven veilig versleuteld dankzij de Zero Knowledge-architectuur van LastPass.

We werken ijverig om de omvang van het incident vast te stellen en te zien tot welke specifieke informatie toegang is verkregen. In de tussentijd kunnen we bevestigen dat LastPass producten en diensten volledig functioneel blijven. Zoals altijd raden we u aan onze best practices te volgen voor het instellen en configureren van LastPass, die u hier kunt vinden.

Als onderdeel van onze inspanningen blijven we verbeterde beveiligingsmaatregelen en controlemogelijkheden in onze infrastructuur implementeren om verdere activiteiten van bedreigers te helpen detecteren en voorkomen.

Wij danken u voor uw geduld terwijl wij ons onderzoek afronden. Zoals gebruikelijk zullen we updates blijven geven als we meer weten.

Karim Toubba

LastPass CEO

Update: Karim Toubba  heeft een nieuwe blog-post met meer details op de site van LastPass gezet, deze is hier te lezen.

Update 2: inmiddels is weer een nieuwe blogpost over dit onderwerp gepubliceerd, waarbij ook weer een update geplaatst is.

De korte samenvatting: het blijkt iedere keer nog erger dan daarvoor, het best lijkt om er van uit te gaan dat al je data bij LastPass risico heeft gelopen, en je dus op zijn minst al je wachtwoorden moet aanpassen.



#LastPass

Toen ze van gratis naar betaald gingen is het gedonder begonnen.

Terwijl je juist verwacht dat het andersom zou zijn. Maar goede kans dat er daardoor dermate veel gebruikers zijn vertrokken dat er zo hier en daar verkeerd bezuinigd is.

Wachtwoorden alleen lokaal bewaren is misschien toch een interessante optie.

Gewoon een kladblokje!

Update:
https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/

https://tweakers.net/nieuws/204814/lastpass-hackers-hebben-versleutelde-wachtwoorden-van-klanten-gestolen.html

https://news.ycombinator.com/item?id=34097142

Er is een update bij dit nieuwsbericht gezet.

Er is een tweede update bij dit nieuwsbericht gezet.

Hele goede update: er zijn nu ook encryptie-sleutels buitgemaakt. Zou lastpass maar voor het last gezien hebben…

Update:

https://support.lastpass.com/help/incident-2-additional-details-of-the-attack

https://9to5mac.com/2023/02/27/lastpass-devops-engineers-hacked/

https://arstechnica.com/information-technology/2023/02/lastpass-hackers-infected-employees-home-computer-and-stole-corporate-vault/

https://news.ycombinator.com/item?id=34965260

En hier nog eentje:

https://tweakers.net/nieuws/207096/lastpass-hack-vond-plaats-door-hooggeplaatste-werknemer-te-hacken.html

Vormt dit soort berichten toch niet impliciet een pleidooi voor het lokaal (op eigen apparaten) bewaren van vertrouwelijke gegevens als wachtwoorden, zonder gebruikmaking van allerlei clouddiensten?

Ook de hoeveelheid veiligheidsupdates die Apple de laatste tijd uitbrengt, bezorgt mij een ongemakkelijk gevoel. Sommigen interpreteren die positief, als een bewijs dat Apple heel erg alert is op veiligheidsrisico's. En in zeker opzicht zal dat ook zo zijn. Toch denk ik bij elke nieuwe update en elke aanbeveling om die direct te installeren: kennelijk valt er een hoop te repareren.

Vormt dit soort berichten toch niet impliciet een pleidooi voor het lokaal (op eigen apparaten) bewaren van vertrouwelijke gegevens als wachtwoorden, zonder gebruikmaking van allerlei clouddiensten?

Ook je eigen device is niet veilig, indien verbonden met internet, of bij diefstal. En over alles wat je uit handen geeft, heb je geen controle. Dan komt het vertrouwen om de hoek kijken.

@Timotheus: maar ondertussen wordt Apple opgevoerd als het voorbeeld om te volgen:

https://appleinsider.com/articles/23/02/27/microsoft-twitter-should-look-to-apple-for-how-security-is-done-says-feds

@Timotheus: maar ondertussen wordt Apple opgevoerd als het voorbeeld om te volgen

Ik heb ook nooit gezegd dat Apple slecht is; zeker niet vergeleken met Microsoft-Android. Maar ik geloof erg in spreiding; dus niet je hele hebben en houden aan Apple (of aan wie of wat dan ook) toevertrouwen. Dus voor mij geen iCloud, geen Contacts, geen iCal, geen Apple keychain, enzovoort. Daarvoor gebruik ik allemaal andere 'leveranciers'.

⚠️ Voor LastPass gebruikers:

Bijna een jaar geleden werd bekend dat criminelen de wachtwoordkluizen van LastPass-gebruikers hadden gestolen, maar de wachtwoordmanager heeft gebruikers nog altijd onvoldoende over het datalek ingelicht en maatregelen genomen om de instellingen van bestaande gebruikers veiliger te maken, zo vinden onderzoekers.

Lees meer...

Achterf een goed gekozen naam, dat LastPass. Want waarschijnlijk is het de laatste keer dat mensen van deze service gebruik hebben gemaakt.