Op 30 november meldde LastPass dat ze waren geschonden en dat een onbevoegde partij, met behulp van informatie die was verkregen bij het incident van augustus 2022,”toegang kon krijgen tot bepaalde elementen van de informatie van onze klanten”. Op 22 december kondigde Karim Toubba, de CEO van LastPass, aan dat de LastPass-schending is ernstiger. De aankondiging bevestigt dat ook de gegevens van de gebruikerskluis zijn verkregen.
Inbreuken in 2022
In augustus kondigde LastPass aan dat aanvallers de broncode en bedrijfseigen technische informatie konden stelen. Op 30 november kondigde LastPass aan dat ze ongebruikelijke activiteit hadden gedetecteerd binnen een externe cloudopslagservice, gedeeld door zowel LastPass als zijn dochteronderneming GoTo. Hun onderzoek wees uit dat een onbevoegde partij, met behulp van informatie verkregen bij het incident in augustus 2022,”toegang kon krijgen tot bepaalde elementen van de informatie van onze klanten“.
Nu is LastPass Aankondigend dat de”onbekende dreigingsactor”de technische informatie van de inbreuk in augustus heeft gebruikt om een werknemer aan te vallen bij het verkrijgen van inloggegevens en sleutels die toegang hebben tot”opslagvolumes binnen de cloudgebaseerde opslagservice“en deze kunnen decoderen. De”bedreigende actor”gebruikte de sleutels om informatie te kopiëren uit back-ups die basisgegevens van klantaccounts bevatten, waaronder bedrijfsnamen, namen van eindgebruikers, factuuradressen, e-mailadressen, telefoonnummers en de IP-adressen die klanten gebruikten om toegang te krijgen tot de LastPass-service. De”bedreigingsactor”kon ook klantkluisgegevens kopiëren die zowel niet-versleutelde gegevens bevatten, zoals website-URL’s, als versleutelde velden zoals gebruikersnamen en wachtwoorden van websites, beveiligde notities en ingevulde formulieren. gegevens. LastPass beweert dat er geen bewijs is dat er toegang is verkregen tot niet-versleutelde creditcardgegevens.
Gegevens in gevaar
LastPass stelt dat gecodeerde velden veilig blijven en alleen kunnen worden gedecodeerd met een unieke coderingssleutel die is afgeleid van het hoofdwachtwoord van elke gebruiker met behulp van hun Zero-Knowledge-architectuur. Volgens LastPass kan de”bedreigingsactor”echter brute kracht gebruiken om het hoofdwachtwoord te raden en de kopieën van de kluisgegevens die ze hebben gemaakt te decoderen. LastPass beweert dat hun hash-en coderingsmethoden het moeilijk zouden maken om het hoofdwachtwoord te raden als de klant LastPass zou volgen praktische tips. Als de klant echter de best practices van LastPass niet zou volgen, zou dit”het aantal pogingen dat nodig is om het hoofdwachtwoord correct te raden”aanzienlijk verminderen. Daarom raadt LastPass aan om opgeslagen websitewachtwoorden te wijzigen.
LastPass stelt ook dat zakelijke klanten die”LastPass Federated Login Services”niet hebben geïmplementeerd, de wachtwoorden van websites die ze hebben opgeslagen, moeten wijzigen.
Eerdere LastPass-gegevensincidenten
Volgens Wikipedia , heeft LastPass een geschiedenis van beveiligingsincidenten.
Beveiligingsincident 2011
Op 3 mei 2011 ontdekte LastPass een anomalie in hun inkomende en uitgaande verkeersnetwerken. Gegevens zoals e-mailadressen, de server salt en de salted wachtwoord-hashes zijn gekopieerd van de LastPass-database. LastPass herbouwde de servers en verzocht alle gebruikers om hun hoofdwachtwoorden te wijzigen.
2015 Beveiligingslek
Op 15 juni 2015, e-mailadressen van LastPass-accounts, wachtwoordherinneringen, server-per-gebruiker salts en authenticatie-hashes zijn gecompromitteerd; de versleutelde gebruikerskluisgegevens werden echter niet beïnvloed.
Beveiligingsincident 2016
In juli 2016 werd, als gevolg van slecht geschreven URL-parseercode in de LastPass-extensie, een methode gevonden voor het lezen van leesbare tekst wachtwoorden voor willekeurige domeinen uit de kluis van een LastPass-gebruiker wanneer die gebruiker een kwaadaardige website bezocht. LastPass is privé op de hoogte gebracht en heeft hun browserextensie gerepareerd.
Beveiligingsincidenten in 2017
Op 20 maart 2017 werd een kwetsbaarheid ontdekt in de LastPass Chrome-extensie. De exploit was van toepassing op alle LastPass-clients, inclusief Chrome, Firefox en Edge. Deze kwetsbaarheden zijn gepatcht.
Op 25 maart werd een extra beveiligingslek ontdekt waardoor externe code kon worden uitgevoerd op basis van het navigeren door de gebruiker naar een kwaadaardige website. Deze kwetsbaarheid is ook gepatcht.
2019 Beveiligingsincident
Op 30 augustus 2019 werd een kwetsbaarheid gevonden in de LastPass-browserextensie waar websites met schadelijke JavaScript-code een gebruikersnaam en wachtwoord konden verkrijgen ingevoegd door de wachtwoordbeheerder op de eerder bezochte site. In september maakte Lastpass de kwetsbaarheid publiekelijk bekend, erkende het probleem en patchte alle platforms.
2021 Trackers van derden en beveiligingsincident
In 2021 werd ontdekt dat de LastPass Android-app trackers van derden. Ook meldde een artikel in BleepingComputer eind 2021 dat LastPass-gebruikers waren gewaarschuwd dat hun hoofdwachtwoord was gehackt.
Mijn aanbevelingen
Elke inbreuk is slecht, maar voor een wachtwoord manager, een inbreuk waarbij de hacker de kluisgegevens verkrijgt, is ongeveer zo erg als maar kan. Als ik LastPass zou gebruiken, zou ik het volgende doen:
Mijn hoofdwachtwoord voor LastPass wijzigen. Meervoudige verificatie van LastPass inschakelen als deze niet is ingeschakeld. Alle essentiële websitewachtwoorden wijzigen (e-mail, financiële instellingen, creditcards, enz..). Overweeg om over te stappen op een andere wachtwoordbeheerder. Persoonlijk heb ik een Premium-abonnement op Bitwarden Password Manager. Ik beschouw het als de beste $ 10 die ik elk jaar uitgeef. Jim Hillier raadt de gratis versie van Bitwarden aan als je de Premium-functies niet nodig hebt.
—
