LastPass is een populaire wachtwoordbeheerder die meer dan genoeg datalekken heeft geleden. Er is nu informatie aan het licht gekomen met betrekking tot het laatste datalek van LastPass, dat hier in december werd gemeld door onze eigen John Durso: LastPass-hacker krijgt kluisgegevens
Blijkbaar is de pc van een thuiswerkende werknemer gecompromitteerd via een kwetsbaarheid in een mediaspeler van derden, die werd misbruikt om een keylogger in te zetten. Toen de keylogger eenmaal was ingezet, was het slechts een kwestie van tijd totdat de werknemer inlogde met zijn officiële inloggegevens en, bingo… de hacker had alles wat hij/zij nodig had om toegang te krijgen tot de bedrijfskluis van de werknemer. Het volgende is een uittreksel uit het LastPass-rapport:
De bedreigingsactor richtte zich op de externe pc van een senior DevOps-engineer door misbruik te maken van kwetsbare software van derden. De bedreigingsactor maakte gebruik van de kwetsbaarheid om malware te leveren, bestaande controles te omzeilen en uiteindelijk ongeoorloofde toegang te krijgen tot cloudback-ups. De gegevens waartoe toegang werd verkregen via deze back-ups omvatten systeemconfiguratiegegevens, API-geheimen, integratiegeheimen van derden en gecodeerde en niet-gecodeerde LastPass-klantgegevens ~ <bron>
Zoals ik al vele malen heb herhaald, vereist de meeste malware, om succesvol te worden afgeleverd, een of andere onbedoelde actie van de kant van de gebruiker, en in bedrijfsomgevingen waarbij meerdere netwerkcomputers die door meerdere gebruikers worden beheerd, is dat risico oneindig groot. Hoewel de LastPass-kluis niet direct werd doorbroken, is het opmerkelijk om te bedenken dat externe medewerkers niet beter zijn opgeleid om dit soort inbreuken door derden te voorkomen. Het is zelfs ondenkbaar dat wat in wezen een pc op het werk is, inclusief zeer gevoelig materiaal, niet volledig gescheiden wordt gehouden van de persoonlijke vereisten van de werknemer.
LastPass heeft verklaard dat het nu bezig is met het versterken van DevOps beveiliging van het thuisnetwerk van de technicus. Hoewel dat zeker een stap in de goede richting is, zouden dit soort werknemers die vanuit huis werken met gevoelige informatie zeker de opdracht moeten krijgen om twee volledig gescheiden pc’s te onderhouden-één voor ALLEEN werkvereisten en een andere voor persoonlijk gebruik.
Wat LastPass-gebruikers moeten doen
Als u een LastPass-gebruiker bent en al corrigerende maatregelen hebt genomen volgens LastPass-bulletin, alles goed. Als u hier echter nu pas achter komt, moet u het advies van John Durso uit zijn eerdere artikel volgen:
Wijzig het hoofdwachtwoord van LastPass Schakel meervoudige verificatie van LastPass in als deze niet is ingeschakeldVerander alle kritieke websitewachtwoorden (e-mail, financiële instellingen, creditcards, enz.)
Blijf veilig daarbuiten.
—
