LastPass datalek update: klantgegevens bekend
LastPass maakt in een blog post bekend dat de vooralsnog onbekende aanvaller toegang heeft gekregen tot een backup met accountgegevens van LastPass klanten en daaraan gerelateerde metadata, waaronder bedrijfsnamen, de namen van eindgebruikers, factuuradressen, emailadressen, telefoonnummers en de IP-adressen waarvandaan gebruikers LastPass hebben benaderd.
Websites bekend
De aanvaller heeft ook een backup van datakluisgegevens buitgemaakt. De meeste gegevens in die opslag zijn versleuteld met 256-bit AES encryptie. Die data zijn alleen toegankelijk te maken met het Master Password dat alleen bij de gebruikers zelf bekend is.
Maar de backup bevat ook onversleutelde gegevens, zoals de url’s van de websites waarvan de gebruikers wachtwoorden hebben opgeslagen. De aanvaller kent dus niet de wachtwoorden – maar wel bij welke websites de getroffen gebruikers een beveiligd account hebben.
Phishing
LastPass waarschuwt dan ook voor phishing en andere gerichte pogingen om gebruikers het Master Password te ontfutselen. Het bedrijf benadrukt bovendien dat aanvallers kunnen proberen het hoofdwachtwoord met brute kracht te ‘raden’. Dat zou onbegonnen werk moeten zijn, mits het wachtwoord voldoet aan de richtlijnen die het bedrijf voor een goed wachtwoord heeft opgesteld:
- Kies een wachtwoord van minimaal 12 willekeurige karakters
- Gebruik geen wachtwoord dat je ook ergens anders al gebruikt
- Controleer of je LastPass kluis gebruikmaakt van voldoende ‘wachtwoord iteraties’ via de Password-Based Key Derivation Function (PBKDF2)
Mocht je Master Password niet aan deze voorwaarden voldoen, kies dan voor meer zekerheid door het alsnog zo snel mogelijk aan te passen. In geval van twijfel raadt het bedrijf aan ook de wachtwoorden van de sites in de LastPass kluis te veranderen. LastPass laat weten dat het in bepaalde gevallen al contact heeft opgenomen met gebruikers die een verhoogd risico zouden lopen. Dat zou gaan om 3% van de zakelijke gebruikers, die bepaalde voorzorgsmaatregelen niet hebben genomen.
Voorgeschiedenis
LastPass maakte in augustus bekend dat een aanvaller toegang had gekregen tot een deel van de source code en andere technische informatie uit de ontwikkelomgeving van LastPass. Eind november ontdekte het bedrijf dat die informatie was gebruikt om “een andere werknemer” aan te vallen, waarbij gegevens en sleutels werden buitgemaakt waarmee de aanvaller een aantal opslagvolumes van LastPass in de cloud kon openen en decrypten.
LastPass maakt gebruik van lokale clouddiensten, onder meer om te kunnen voldoen aan specifieke lokale eisen voor de opslag van gegevens. Het bedrijf heeft vooralsnog niet gereageerd op ons informatieverzoek om bekend te maken om welke cloud-opslag in welke regio’s het hier gaat, of hoeveel klanten in potentie door deze aanval zijn geraakt.
Het bedrijf zegt een reeks maatregelen te hebben genomen om te voorkomen dat vergelijkbare incidenten in de toekomst nog kunnen plaatsvinden.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee