Vorig jaar was een bijzonder slecht jaar voor wachtwoordbeheerder LastPass, omdat een reeks hackincidenten enkele ernstige zwakke punten aan het licht bracht in de zogenaamd ijzersterke beveiliging. Nu weten we precies hoe die aanvallen zijn verlopen - en de feiten zijn behoorlijk adembenemend.
Het begon allemaal in augustus 2022, toen LastPass onthulde dat een bedreigingsactor dat had gedaan de broncode van de app gestolen. Bij een tweede, daaropvolgende aanval combineerde de hacker deze gegevens met informatie die was gevonden in een afzonderlijk datalek en maakte vervolgens gebruik van een zwak punt in een app voor externe toegang die door LastPass-medewerkers werd gebruikt. Zo konden ze een keylogger installeren op de computer van een senior engineer van het bedrijf.
Zodra die keylogger op zijn plaats was, konden de hackers het LastPass-hoofdwachtwoord van de technicus opscheppen zoals het was ingevoerd, waardoor ze toegang kregen tot de kluis van de werknemer - en alle daarin vervatte geheimen binnenin.
Verwant
- Hackers hebben mogelijk de hoofdsleutel van een andere wachtwoordbeheerder gestolen
- NordPass voegt wachtwoordsleutelondersteuning toe om uw zwakke wachtwoorden te verbannen
- Hackers groeven diep in de enorme LastPass-beveiligingsinbreuk
Ze gebruikten die toegang om de inhoud van de kluis te exporteren. Genesteld tussen de gegevens waren de decoderingssleutels die nodig zijn om de back-ups van klanten die zijn opgeslagen in het cloudopslagsysteem van LastPass te ontsleutelen.
Aanbevolen video's
Dat is belangrijk omdat LastPass productieback-ups en kritieke databaseback-ups in de cloud bewaarde. Er werd ook een grote hoeveelheid gevoelige klantgegevens gestolen, hoewel het erop lijkt dat de hackers deze niet konden ontsleutelen. Details van een LastPass-ondersteuningspagina precies wat er gestolen is.
Twijfelachtige transparantie
Gelukkig voor LastPass-gebruikers lijkt het erop dat de meest gevoelige gegevens van klanten, zoals (de meeste) e-mailadressen en wachtwoorden, werden versleuteld met behulp van een zero-knowledge-methode. Dat betekent dat ze zijn versleuteld met een sleutel die is afgeleid van het hoofdwachtwoord van elke gebruiker en die onbekend is bij LastPass. Toen de hackers LastPass-gegevens stalen, konden ze deze decoderingssleutels niet krijgen omdat ze nergens door LastPass waren opgeslagen.
Dat gezegd hebbende, er zijn veel belangrijke gegevens verzameld door de bedreigingsactoren. Dat omvatte back-ups van LastPass's multi-factor authenticatiedatabase, API-geheimen, klantmetadata, configuratiegegevens en meer. Daarnaast lijken er naast LastPass nog veel meer producten te zijn werden ook geschonden.
Op een ondersteuningspagina, zei LastPass dat de manier waarop de tweede aanval werd uitgevoerd – door echte inloggegevens van werknemers te gebruiken – het moeilijk maakte om deze te detecteren. Uiteindelijk realiseerde het bedrijf zich dat er iets mis was toen het AWS GuardDuty Alerts-systeem het daarvoor waarschuwde iemand probeerde zijn Cloud Identity- en Access Management-rollen te gebruiken om ongeautoriseerd uit te voeren activiteit.
LastPass heeft de afgelopen maanden veel kritiek gekregen op de manier waarop het de aanvallen afhandelde, en het is onwaarschijnlijk dat die afkeuring zal verdwijnen in het licht van de laatste onthullingen. Eén beveiligingsbedrijf ging zelfs zo ver om te zeggen dat LastPass geen betrouwbare app was en dat gebruikers dat wel deden overschakelen naar verschillende wachtwoordmanagers.
Op dit moment probeert LastPass blijkbaar zijn aanvalsondersteuningspagina's voor zoekmachines te verbergen door de toevoeging "”-code toe aan de pagina's. Dat zal het voor gebruikers (en de rest van de wereld) alleen maar moeilijker maken om erachter te komen wat er is gebeurd en dat lijkt nauwelijks te gebeuren in de geest van transparantie en verantwoording. Ook op de bedrijfsblog is niets gepubliceerd.
Als je een LastPass-klant bent, is het misschien beter om een alternatieve app te zoeken. Gelukkig zijn er genoeg andere geweldige wachtwoordmanagers die uw belangrijke informatie op betrouwbare wijze kunnen beschermen.
Aanbevelingen van de redactie
- Door deze gênante wachtwoorden werden beroemdheden gehackt
- Nee, 1Password is niet gehackt - dit is wat er echt is gebeurd
- Deze enorme exploit van wachtwoordbeheerders wordt mogelijk nooit verholpen
- De beste wachtwoordmanagers voor 2023
- LastPass gebruiken? Je moet dringend overstappen, zegt beveiligingsbedrijf
Upgrade je levensstijlDigital Trends helpt lezers de snelle wereld van technologie in de gaten te houden met het laatste nieuws, leuke productrecensies, verhelderende hoofdartikelen en unieke sneak peeks.