image

Inbraak bij wachtwoordmanager LastPass via systeem van ontwikkelaar

zaterdag 17 september 2022, 07:53 door Redactie, 6 reacties

De aanvaller die wist in te breken op interne systemen van wachtwoordmanager LastPass en daar broncode buitmaakte deed dit via een systeem van een ontwikkelaar. Dat heeft het bedrijf in een update over het incident bekendgemaakt. Hoe de aanvaller het systeem van de ontwikkelaar wist te compromitteren is na onderzoek niet duidelijk geworden. De aanvaller had in totaal vier dagen lang toegang tot de ontwikkelomgeving van LastPass.

Eind augustus meldde LastPass dat het door een aanval was getroffen, die zich eerder die maand had voorgedaan. De aanvaller wist het systeem van de ontwikkelaar te compromitteren en wachtte vervolgens totdat die zich via multifactorauthenticatie op de ontwikkelomgeving authenticeerde, om zo zelf toegang te krijgen. Zodoende kon de aanvaller zich voordoen als de ontwikkelaar.

LastPass herhaalt dat de wachtwoordkluizen van klanten niet in gevaar zijn geweest, omdat die fysiek gescheiden van de productieomgeving zijn. Verder zijn er geen aanwijzingen gevonden dat de broncode van de wachtwoordmanager door de aanvaller is aangepast. Vanwege de succesvolle inbraak op de ontwikkelomgeving zegt LastPass dat het de beveiliging heeft aangescherpt, waaronder extra "endpoint security controls" en monitoring van systemen.

Reacties (6)
17-09-2022, 11:08 door Anoniem
Een beetje IT-er host zijn eigen password manager en schermt die af. Hoe goed LastPass het ook doet en hoe klein de kans op het lekken van wachtwoorden ook is, de inpact kan heel groot zijn. Een voor mij niet acceptabel risico als het alternatief eenvoudig is.
18-09-2022, 12:47 door karma4
Gescheiden netwerksegmenten en wat meer is het werkelijke gebrek. Broncode die openbaar mag zijn en openbaar wordt is niet het grootste probleem.

De veronderstelling dat een ontwikkelaar bij de operationele omgeving kan komen toont een gebrek aan inzicht van informatiebeveiliging.
18-09-2022, 21:17 door Anoniem
Door Anoniem: Een beetje IT-er host zijn eigen password manager en schermt die af. Hoe goed LastPass het ook doet en hoe klein de kans op het lekken van wachtwoorden ook is, de inpact kan heel groot zijn. Een voor mij niet acceptabel risico als het alternatief eenvoudig is.
Als je binnen een team wachtwoorden moet delen, kan het aardig handig zijn. Maar hier zijn inderdaad ook degelijke selfhosted oplossingen voor. Ik heb wel eens met Thycotic Secret Server gewerkt, dat werkte aardig prima, ook in teamverband.
19-09-2022, 08:03 door Anoniem
Laatste alinea staat de scheiding van development en productie anders verwoord dan in het blog bericht van Lastpass. Lastpass zegt namelijk dat development en productie omgeving fysiek gescheiden zijn. En ook dat ontwikkelaars geen code mogen pushen naar productie.

Dit is dus anders dan de veronderstelling van karma4 @ 12;47.
19-09-2022, 10:20 door Anoniem
Door Anoniem: Een beetje IT-er host zijn eigen password manager en schermt die af. Hoe goed LastPass het ook doet en hoe klein de kans op het lekken van wachtwoorden ook is, de inpact kan heel groot zijn. Een voor mij niet acceptabel risico als het alternatief eenvoudig is.

100% mee eens, er zijn genoeg goede open source third party reviewed software beschikbaar, gebruik geen commerciele om precies deze reden
19-09-2022, 21:16 door Jan Kol - Bijgewerkt: 19-09-2022, 21:17
Nu is gebeurd waar ik jaren geleden al voor vreesde m.b.t. LastPass. Om die reden ben ik betrekkelijk lang geleden al overgestapt op KeePass want daarbij bepaal je zelf waar je de ww-database opslaat, b.v op enkele USB-sticks. Enkele USB-sticks want een back-up is noodzakelijk want bij een beschadiging van de data-base op de USB-stick of verlies ervan is "alles" kwijt. Het is mij inderdaad overkomen dat een USB-stick defect raakte en ik was erg blij een bijgehouden back-up te hebben.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.