image

Aanvallers stelen broncode van wachtwoordmanager LastPass

vrijdag 26 augustus 2022, 09:17 door Redactie, 19 reacties

Aanvallers hebben toegang gehad tot de systemen van wachtwoordmanager LastPass en daar broncode buitgemaakt, zo heeft het bedrijf laten weten. Volgens LastPass zijn er geen aanwijzingen dat de aanvallers toegang tot gegevens van klanten of hun wachtwoordkluizen hebben gekregen. LastPass biedt een wachtwoordmanager die gebruikers hun wachtwoorden in de cloud laat opslaan.

Twee weken geleden detecteerde LastPass naar eigen zeggen "ongewone activiteiten" in de ontwikkelomgeving. Een aanvaller had via het account van een LastPass-ontwikkelaar toegang tot de systemen gekregen en vervolgens broncode en vertrouwelijke technische informatie gestolen. Hoe de aanvaller precies toegang tot het account heeft gekregen laat LastPass niet weten.

Wel zegt het bedrijf dat het naar technieken gaat kijken om de beveiliging van de eigen omgeving te versterken. Wat betreft de gevolgen van de aanval stelt LastPass dat gebruikers vooralsnog geen verdere actie hoeven te ondernemen.

Reacties (19)
26-08-2022, 10:09 door johanw - Bijgewerkt: 26-08-2022, 10:09
Hoewel het op zich geen probleem voor de gebruikers veiligheid hoeft te zijn dat de sourcecode nu in handen van derden is - tenslotte zijn er ook open source password managers zoals KeyPass en daar is het geen probleem - is het geen goed teken voor de veiligheid van hun systemen. En aangezien Lastpass een online password manager is is dat wel relevant.
26-08-2022, 10:23 door Erik van Straten
Niet vermoedende dat de redactie er vandaag zo vroeg bij zou zijn ;-) heb ik op het forum een post met aanvullende info geschreven: https://www.security.nl/posting/765778/LastPass+hacked%3A+risico+users%3F.
26-08-2022, 10:26 door Anoniem
Hoe de aanvaller precies toegang tot het account heeft gekregen laat LastPass niet weten.
Maar die info is wel interessant natuurlijk! Waarschijnlijk gebruiken de ontwikkelaars van LastPass... LastPass.
Dus als er dan toch ingebroken is lijkt het me wel goed te weten hoe dat kon en of LastPass daar bij betrokken is.
26-08-2022, 11:33 door Anoniem
Door Anoniem:
Hoe de aanvaller precies toegang tot het account heeft gekregen laat LastPass niet weten.
Maar die info is wel interessant natuurlijk! Waarschijnlijk gebruiken de ontwikkelaars van LastPass... LastPass.
Dus als er dan toch ingebroken is lijkt het me wel goed te weten hoe dat kon en of LastPass daar bij betrokken is.

Phishing of credential stuffing lijkt me meer waarschijnlijk.
26-08-2022, 11:52 door Anoniem
Plex en LastPass breaches
26-08-2022, 09:03 door Anoniem

https://www.security.nl/posting/765776/Plex+en+LastPass+breaches+lijken+erg+veel+op+elkaar


LastPass hacked: risico users?
26-08-2022, 09:34 door Erik van Straten

https://www.security.nl/posting/765778/LastPass+hacked%3A+risico+users%3F
26-08-2022, 14:10 door Anoniem
Ik vind alle verzamelplaatsen van zaken met waarde heel erg onhandig/dom/minder slim.
Een wachtwoord of ander credential is een hebbe-ding voor hackers....
Dus om nu AL je wachtwoorden op 1 plek te verzamelen maakt zo'n omgeving alleen maar waardevoller...

Een hacker aan de andere kant van de wereld of de andere kant van de straat heeft het erg lastig om jouw post-it notitie op het scherm, koelkast enz te lezen, terwijl dat ons wijs gemaakt is dat het levensgevaarlijk is...
Hollywood heeft daar niet bij geholpen...
Vervolgens moeten we ook elke 39 minuten een nieuw wachtwoord van tenminste 43 letters met 10 cijfers, 10 vreemde characters en minstens 5 kleine letters en hoofdletters hebben en mag er geen opeenvolging zijn van 2 characters (dus niet 12 of AB) en mogen de wachtwoorden in de geschiedenis van de mensheid nog nooit gebruikt zijn....

Tja, dan ga je al over de mogelijkheden van het menselijk brein heen en duw je mensen richting niets-betekenende wachtwoorden die niet meer onthouden kunnen worden.

Allemaal onzin natuurlijk.. Een wachtwoord van mijn NAS op een post-it op de koelkast, daar zal mijn NAS niet gehacked door worden (#1 hij hangt niet aan internet #2 er komt niemand in mijn koelkast en #3 iedereen die in de keuken komt MOET bij die NAS kunnen komen)...

Maar mijn wachtwoord in een password manager met mijn (ik heb even gekeken, 851 andere wachtwoorden) heeft ineens een heel andere waarde in het internet-verkeer...

Is dan een wachtwoord manager wel zo'n goed idee? Is dat niet net zo onhandig als alleen maar kunnen pinnen, of een EV in het regenwoud?
Wachtwoorden zijn dingen die je moet kunnen onthouden, anders kun je net zo goed een dongle of FOB nemen...
En het wachtwoord elke keer moete veranderen? Wat voor nut heeft dat?
Je hebt toch detectie op het aantal keer dat iemand een wachtwoord verkeer in klopt?
Dus online brute-force attacks zouden niet mogelijk moeten zijn.
Een wachtwoord dat 1 minuut oud is is dus niet veiliger dan een wachtwoord wat 1 jaar oud is.
Sterker nog, dat wachtwoord is waarschijnlijk zo goed dat het onthouden kan worden...

Maar dat zie je wel vaker in de ICT wereld... problemen willen ze met techniek op lossen terwijl het probleem niet de techniek is... Het probleem is niet de techniek, het probleem is dat de mens gedwongen wordt door de techniek om iets te doen wat de techniek niet had moeten vragen.https://imgs.xkcd.com/comics/security.png
26-08-2022, 14:33 door Anoniem
Alle ellende van deze dolgedraaide " virtuele",geautomatiseerde,O zo " handige" internet wereld komt steeds dichterbij:
Een " apocalyps" waarvan we niet kunnen bevroeden in welke gedaante hij zal optreden.
Schrikbarend en niemand houdt het tegen.
Er zal iets nieuws ontstaan uit chaos.
Zie ook de politieke chaos van ons land.
Niets is meer maakbaar (is het ook eigenlijk nooit geweest)
26-08-2022, 14:42 door Anoniem
Door Anoniem: Ik vind alle verzamelplaatsen van zaken met waarde heel erg onhandig/dom/minder slim.
Een wachtwoord of ander credential is een hebbe-ding voor hackers....
Dus om nu AL je wachtwoorden op 1 plek te verzamelen maakt zo'n omgeving alleen maar waardevoller...

Allemaal onzin natuurlijk.. Een wachtwoord van mijn NAS op een post-it op de koelkast, daar zal mijn NAS niet gehacked door worden (#1 hij hangt niet aan internet #2 er komt niemand in mijn koelkast en #3 iedereen die in de keuken komt MOET bij die NAS kunnen komen)...

Maar mijn wachtwoord in een password manager met mijn (ik heb even gekeken, 851 andere wachtwoorden) heeft ineens een heel andere waarde in het internet-verkeer...

Dus als je NAS sterft ben je de data kwijt? daarnaast kun je niet bij de NAS vanaf je PC want je zegt dat het niet aan het internet hangt, dus totaal gescheiden van de rest van je omgeving.
heel fijn dat je het wachtwoord op je koelkast hangt. maar maakt dat een verschil met als deze in de cloud zou staan? Waarom zou je dat überhaupt doen? je kan dan net zo goed al je wachtwoorden uit printen en op een A4 op de koelkast plakken.
26-08-2022, 19:15 door Anoniem
Door Anoniem:
Door Anoniem: Ik vind alle verzamelplaatsen van zaken met waarde heel erg onhandig/dom/minder slim.
Een wachtwoord of ander credential is een hebbe-ding voor hackers....
Dus om nu AL je wachtwoorden op 1 plek te verzamelen maakt zo'n omgeving alleen maar waardevoller...

Allemaal onzin natuurlijk.. Een wachtwoord van mijn NAS op een post-it op de koelkast, daar zal mijn NAS niet gehacked door worden (#1 hij hangt niet aan internet #2 er komt niemand in mijn koelkast en #3 iedereen die in de keuken komt MOET bij die NAS kunnen komen)...

Maar mijn wachtwoord in een password manager met mijn (ik heb even gekeken, 851 andere wachtwoorden) heeft ineens een heel andere waarde in het internet-verkeer...

Dus als je NAS sterft ben je de data kwijt? daarnaast kun je niet bij de NAS vanaf je PC want je zegt dat het niet aan het internet hangt, dus totaal gescheiden van de rest van je omgeving.
heel fijn dat je het wachtwoord op je koelkast hangt. maar maakt dat een verschil met als deze in de cloud zou staan? Waarom zou je dat überhaupt doen? je kan dan net zo goed al je wachtwoorden uit printen en op een A4 op de koelkast plakken.
Als het wachtwoord in de cloud staat kan een hacker er misschien bij. Op de koelkast is veiliger.
26-08-2022, 19:33 door Anoniem
Wachtwoorden zijn dingen die je moet kunnen onthouden

Juist niet! Alleen makkelijke wachtwoorden zijn te onthouden, maar je hebt er weinig aan omdat die zo makkelijk te kraken zijn. Sterke wachtwoorden gebruiken, uitprinten en ergens op een veilige plek bewaren is veel beter. Wachtwoordmanagers is ook een risico, dat is nu wel gebleken. Je geeft dan in feite al je wachtwoorden uit handen, en moet maar hopen dat het goed gaat.
26-08-2022, 22:21 door Anoniem
Anoniem
Gebruik gewoon Master Password, die zet je met een apk op een oude telefoon die offline blijft. De wachtwoorden zijn gerelateerd aan je inloggegevens. Je kunt de wachtwoorden evt. "scrambled" op papier bewaren door alleen daarop de site name en site counter te vermelden, zodat je ze altijd in de app manueel kunt herstellen, of een BU maken op een extern medium. Niemand kan dan je wachtwoorden raden, want die zitten immers verborgen in je inloggegevens. Je kunt door het unieke logaritme met de inloggegevens
op elk apparaat op Android en Windows de juiste wachtwoorden genereren, zonder OTA. Het is open source en kost geen cent.
26-08-2022, 22:36 door Anoniem
Ja, toch wel

Een computer maakt het niet uit welke karakters ik gebruik. Een brute force attack probeert alle karaktercombinaties. Ja, inderdaad eerst de woordenboeken. Maar daarna toch elke combinatie. Brute force aanvalssucces is (bijna) gegarandeerd bij korte wachtwoorden. Hoe langer wachtwoord, des te extra veel langer duurt een brute force attaché. Heel erg lange wachtwoorden (ongeacht of die te onthouden zijn of niet) zijn met brute force bijna niet te kraken (gelukstreffers soms wel). Dit is de reden dat wachtwoordzinnen zoveel meer betrouwbaarder zijn. Wachtwoordzinnen zijn vaak gemakkelijk te onthouden (maar steeds weer langdurig om in te vullen).

Ik zie best wel voordelen bij wachtwoordmanagers. Toch gebruik ik die zelf niet.
Precies om redenen die hier worden genoemd. De wachtwoordmanagers zijn natuurlijk allemaal absoluut veilig, behalve als…
En ja, ook het maken van wachtwoordmanagers is mensen werk. En ook de systemen waarop de wachtwoordmanagers draaien zijn mensenwerk. En mensenwerk bevat (tot nu toe) altijd ergens fouten. Ik kan niet voorspellen waar, welke fouten worden gemaakt. Ook als er onverhoopt een absoluut veilige wachtwoordmanager is gemaakt zorgt Murphy’s er wel voor dat ik juist de verkeerde zal hebben gekozen.

Natuurlijk moet je nooit je wachtwoord op een koelkast schrijven (theorie)
Maar het kan wel heel praktisch zijn.
Denk maar aan het wachtwoord van de WiFi in het café waar je je biertje wil drinken en waar je toch gebruik van de WiFi wil maken (moet je nooit doen, gebruik je eigen bundel……).

Was getekend
27-08-2022, 09:35 door Erik van Straten
Door Anoniem: [...] Wachtwoordmanagers is ook een risico, dat is nu wel gebleken. Je geeft dan in feite al je wachtwoorden uit handen, en moet maar hopen dat het goed gaat.
Op het moment dat jij een wachtwoord intikt op een fysiek of virtueel toetsenbord, kunnen andere partijen (mogelijk veel meer dan jij je realiseert), "daarbij". Je ontkomt niet aan een "bepaalde mate" van vertrouwen in al die partijen (en hun wijze van beveiligen tegen indringers, ook in hun eigen systemen).

Aangezien ik onmogelijk al mijn unieke en sterke wachtwoorden kan onthouden, gebruik ik een wachtwoordmanager (KeePass - ook niet vrij van nadelen en risico's). Een nieuwe, zorgvuldige en volledige, risicoafweging maken is altijd goed (neem ook beschikbaarheid mee), maar om naar aanleiding van één incident - met nog onbekende impact voor gebruikers - meteen maar alle wachtwoordmanagers in de ban te doen, vind ik onverstandig en zelfs paniekerig.
27-08-2022, 10:45 door Anoniem
Door Anoniem: Gebruik gewoon Master Password, die zet je met een apk op een oude telefoon die offline blijft. De wachtwoorden zijn gerelateerd aan je inloggegevens. Je kunt de wachtwoorden evt. "scrambled" op papier bewaren door alleen daarop de site name en site counter te vermelden, zodat je ze altijd in de app manueel kunt herstellen [....]

De indruk die ik krijg is dat je de bekende 'Password Master' vault van F-Droid verward met de LessPass generator. LessPass is een stateless password manager, die functioneert zonder de noodzaak van een cloud synchronisatie en de daaraan verbonden risico's. LessPass [ demo https://www.lesspass.com ] heeft daarom de voorkeur.

Voorts is het beter een tablet offline te gebruiken. Een type zonder de mogelijkheid om daar een SIM-kaart in te plaatsen, en waarvan het WiFi en Bluetooth permament zijn uitgeschakeld. Een oude mobiele telefoon straalt immers altijd de telecom masten aan voor de nooddiensten, ook als er geen SIM-kaart in zit, en is dus in feite altijd online.

https://f-droid.org/en/packages/com.lesspass.android/
27-08-2022, 12:46 door Anoniem
Mijn spamfilter reageerde niet op een adres beginnend met het Franse teken a-dakje-punt enz. Handmatig verwijderd, maar daar heb je toch geen junk file abonnement voor. Iemand?

Wachtwoord management idem dito. Ik heb wel eens het idee dat men het laat lopen om bewust 'orde uit chaos' te kunnen creëren.

Maar dan ben ik weer een wap/conspiracy thinker natuurlijk.

Alhoewel de werkelijkheid me steeds meer gelijk schijnt te gaan geven. De huidige wereldleider heet m.i. Ralph Demolka (de grote destructor).

#obserwator
27-08-2022, 16:10 door Anoniem
Niemand die z'n wachtwoorden als simpel .txt bestandje bewaart? Dan hoef je ze niet in te tikken maar gewoon copy & paste
(snel!) en heb je nog steeds je wachtwoorden in eigen beheer zonder dat je ze moet onthouden. Wel versleuteld bewaren zodat niemand anders er wat mee kan.
27-08-2022, 19:11 door Anoniem
Door Anoniem: De indruk die ik krijg is dat je de bekende 'Password Master' vault van F-Droid verward ...

LessPass van Guillaume Vincent is gebaseerd op het idee van (voorheen) 'Master Password' van Maarten Billemont, tegenwoordig 'Spectre' geheten [ https://spectre.app ]. De onderzoeksgroep SECUSO aan de universiteit van Karlsruhe heeft ook een soortgelijke stateless generator voor Android ontwikkeld, onder de naam 'Password Generator'.

https://secuso.aifb.kit.edu/english/105.php
27-08-2022, 23:01 door Anoniem
Door Anoniem:
En het wachtwoord elke keer moete veranderen? Wat voor nut heeft dat?
Je wachtwoord is moeilijker te kraken.
Stel je hebt een ééncijferig wachtwoord en je verandert het wachtwoord niet.
Een aanvaller kiest eerst 0. De kans dat het goed is is 1/10
Heeft hij het goed dan is het wachtwoord gekraakt. Is het niet goed, dan kiest hij 1. De kans dat het nu goed is, is 1/9.
Als het wachtwoord onjuist is, dan kiest hij 2. De kans dat het nu goed is, is 1/8 enz.
Als je het wachtwoord na elke hackpoging verandert, dan blijft de kans 1/10.
30-08-2022, 08:01 door Anoniem
Leestip:
https://nakedsecurity.sophos.com/2022/08/29/lastpass-source-code-breach-do-we-still-recommend-password-managers/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.