image

LastPass waarschuwt gebruikers voor datalek met klantgegevens

donderdag 1 december 2022, 09:39 door Redactie, 18 reacties

Wachtwoordmanager LastPass heeft gebruikers gewaarschuwd voor een beveiligingsincident waarbij aanvallers toegang tot klantgegeven hebben gekregen. LastPass zegt dat het onlangs verdachte activiteit in een third-party cloudopslagdienst ontdekte die het deelt met partner GoTo. De aanvaller wist met gegevens die bij een ander beveiligingsincident afgelopen augustus werden gestolen toegang tot klantgegevens te krijgen.

Bij de aanval in augustus werd onder andere broncode en vertrouwelijke technische informatie van LastPass buitgemaakt. De verantwoordelijke aanvaller wist via het systeem van een ontwikkelaar toegang tot de ontwikkelomgeving van de wachtwoordmanager te krijgen. Volgens LastPass zijn de wachtwoorden van gebruikers bij het nu gemelde incident niet in gevaar. Op dit moment wordt de omvang van het datalek en welke informatie precies is gestolen onderzocht. Verdere details zijn niet gegeven.

Vanwege de succesvolle inbraak op de ontwikkelomgeving liet LastPass afgelopen augustus weten dat het de beveiliging ging aanscherpen, waaronder extra "endpoint security controls" en monitoring van systemen. Ook in de aankondiging van het nu onthulde datalek wordt gemeld dat het bedrijf beveiligingsmaatregelen en monitoring in de infrastructuur blijft uitrollen, maar exacte details ontbreken.

Reacties (18)
01-12-2022, 10:46 door Anoniem
LastPass heeft je wachtwoorden in de cloud staan. Dat is een extra attack surface die je niet hebt als je je wachtwoorden lokaal opslaat.
01-12-2022, 11:19 door Anoniem
Door Anoniem: LastPass heeft je wachtwoorden in de cloud staan. Dat is een extra attack surface die je niet hebt als je je wachtwoorden lokaal opslaat.

Helemaal eens al. Voor prive gebruik is lokaal sowieso een beter idee.
Voor bedrijven is het nog best een uitdaging om gedeelde kluizen te onderhouden en al hoeft het niet direct 'in de cloud' te zijn is een gedeeld platform helaas bittere noodzaak.
01-12-2022, 11:35 door Anoniem
Door Anoniem: LastPass heeft je wachtwoorden in de cloud staan. Dat is een extra attack surface die je niet hebt als je je wachtwoorden lokaal opslaat.

Availability is een extra risico als je lokaal opslaat...
01-12-2022, 11:40 door Anoniem
Door Anoniem: LastPass heeft je wachtwoorden in de cloud staan. Dat is een extra attack surface die je niet hebt als je je wachtwoorden lokaal opslaat.

Ik durf te wedden dat Lastpass voor veel mensen de wachtwoorden beter kan beveiligen dan zij zelf thuis kunnen. Het gaat niet om de ICT kundige die alles zelf altijd beter kunnen (tot het mis gaat), maar om de grote groep die gemak en veiligheid proberen te balanceren. Je wachtwoorden zijn gewoon encrypt net als je thuis zou doen en de monitoring is vele malen beter.

Persoonsgegevens in profielen invullen is een ander punt. Daar zou ik altijd adviseren om alleen het nodige in te vullen. Dus bij lastpass hooguit je naam en e-mail adres (wat vaak toch al public domain is). Maar je leeftijd, nationaliteit, adres etc. is helemaal niet nodig. Dus niet invullen, dan kan het ook niet gestolen worden.

En neem Lastpass af via een van de partners. Dan hoef je ook niet je "creditcard" in te vullen. En kan je gewoon op factuur basis met een Nederlands bedrijf werken.
01-12-2022, 11:43 door Anoniem
Door Anoniem:
Door Anoniem: LastPass heeft je wachtwoorden in de cloud staan. Dat is een extra attack surface die je niet hebt als je je wachtwoorden lokaal opslaat.

Helemaal eens al. Voor prive gebruik is lokaal sowieso een beter idee.

Best mee oneens - juist bij privé gebruik is availability nooit goed geregeld. (backups bij prive gebruikers ?) .
Kapotte disk of ransomware - en dan zijn alle wachtwoorden onbereikbaar .

Het is geen simpel probleem - structureel goed en frequent backuppen doen prive gebruikers maar zelden.
(Of - kip en ei - ze doen het "vanzelf" naar de (i)Cloud . Beetje regen en drup verhaal is het dan of je LastPass in de cloud zet of je lokale backups ervan in de cloud ).


Voor bedrijven is het nog best een uitdaging om gedeelde kluizen te onderhouden en al hoeft het niet direct 'in de cloud' te zijn is een gedeeld platform helaas bittere noodzaak.

Bedrijfsmatig zijn zowel 'lokaal geshared' als 'goede backup' hopelijk beter dan voor de meeste prive gebruikers.
01-12-2022, 11:49 door Anoniem
Helemaal eens al. Voor prive gebruik is lokaal sowieso een beter idee.
Ben met bovenstaande reacties eens en daarbij kun je een opgeschreven wachtwoord ook cryptisch opschrijven.
01-12-2022, 12:14 door Anoniem
Door Anoniem:
Door Anoniem: LastPass heeft je wachtwoorden in de cloud staan. Dat is een extra attack surface die je niet hebt als je je wachtwoorden lokaal opslaat.

Availability is een extra risico als je lokaal opslaat...

Dat, en het risico is sterk beperkt omdat LastPass je wachtwoord helemaal niet heeft. In principe zou het algoritme en de source gewoon openbaar kunnen zijn afgezien van zakelijke belangen. Storm in een glas water tenzij de sources aangepast zijn.
01-12-2022, 12:30 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: LastPass heeft je wachtwoorden in de cloud staan. Dat is een extra attack surface die je niet hebt als je je wachtwoorden lokaal opslaat.

Helemaal eens al. Voor prive gebruik is lokaal sowieso een beter idee.

Best mee oneens - juist bij privé gebruik is availability nooit goed geregeld. (backups bij prive gebruikers ?) .
Kapotte disk of ransomware - en dan zijn alle wachtwoorden onbereikbaar .

Het is geen simpel probleem - structureel goed en frequent backuppen doen prive gebruikers maar zelden.
(Of - kip en ei - ze doen het "vanzelf" naar de (i)Cloud . Beetje regen en drup verhaal is het dan of je LastPass in de cloud zet of je lokale backups ervan in de cloud ).


Voor bedrijven is het nog best een uitdaging om gedeelde kluizen te onderhouden en al hoeft het niet direct 'in de cloud' te zijn is een gedeeld platform helaas bittere noodzaak.

Bedrijfsmatig zijn zowel 'lokaal geshared' als 'goede backup' hopelijk beter dan voor de meeste prive gebruikers.

Ben het met je eens dat prive de meeste mensen niet goed weten wat ze aan het doen is, echter voor de techsavy gebruiker is dit waarschijnlijk de betere optie dan vertrouwen op een bedrijf als Lastpass.

Voor de thuisgebruiker zou het plaatsen van de encrypted vault op een dienst als gdrive oid best een prima oplossing zijn.
Als je encryptie op de vault zo slecht is dat het uploaden naar icloud/gdrive geen optie is heb je grotere problemen :)

Ook maak je een goed punt, namelijk dat Lastpass een stuk meer verstand heeft van security dan de gemiddelde persoon.
Nog los van de availability is het security beleid waarschijnlijk hopeloos slecht, dit geldt overigens ook voor genoeg mensen die beter zouden moeten weten.
01-12-2022, 14:55 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: LastPass heeft je wachtwoorden in de cloud staan. Dat is een extra attack surface die je niet hebt als je je wachtwoorden lokaal opslaat.

Availability is een extra risico als je lokaal opslaat...

Dat, en het risico is sterk beperkt omdat LastPass je wachtwoord helemaal niet heeft. In principe zou het algoritme en de source gewoon openbaar kunnen zijn afgezien van zakelijke belangen. Storm in een glas water tenzij de sources aangepast zijn.

Door het hacken van de LastPass web servers, kan een aanvaller gewoon zorgen dat via javascript het master password bij de aanvaller terecht komt. De kluis hebben ze al want die zit in hun cloud. Dit geldt ook voor Hushmail en Proton mail.
01-12-2022, 16:57 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: LastPass heeft je wachtwoorden in de cloud staan. Dat is een extra attack surface die je niet hebt als je je wachtwoorden lokaal opslaat.

Availability is een extra risico als je lokaal opslaat...

Dat, en het risico is sterk beperkt omdat LastPass je wachtwoord helemaal niet heeft. In principe zou het algoritme en de source gewoon openbaar kunnen zijn afgezien van zakelijke belangen. Storm in een glas water tenzij de sources aangepast zijn.

Door het hacken van de LastPass web servers, kan een aanvaller gewoon zorgen dat via javascript het master password bij de aanvaller terecht komt. De kluis hebben ze al want die zit in hun cloud. Dit geldt ook voor Hushmail en Proton mail.

En daarom MFA
01-12-2022, 17:32 door Anoniem
Door Anoniem:
Door Anoniem: Door het hacken van de LastPass web servers, kan een aanvaller gewoon zorgen dat via javascript het master password bij de aanvaller terecht komt. De kluis hebben ze al want die zit in hun cloud. Dit geldt ook voor Hushmail en Proton mail.

En daarom MFA

Helpt niet, want de server die de MFA goed moet keuren is ook van LastPass. Bij een hack van LastPass kan de aanvaller daar dus bij.

Lokaal opslaan in bijvoorbeeld KeePass heeft dit euvel niet.

Hoe veel vertrouwen heb je in je cloud provider als je alles zelf kan doen? Alles in de cloud of alles zelf doen? Ik zal altijd alles zelf doen als dat mogelijk is. Ik vertrouw mijzelf meer als een cloud provider met louter commerciële motieven. Encrypted in the cloud is wat anders. Met de encryptie lokaal op mijn eigen hardware.
01-12-2022, 21:38 door Anoniem
Door Anoniem:
Dat, en het risico is sterk beperkt omdat LastPass je wachtwoord helemaal niet heeft
Dat mag je nog maar hopen. Ze hebben je wachtwoord niet nodig, maar ze hebben je persoonlijke gegevens ook
niet nodig en die hebben ze toch maar opgeslagen. Toegankelijk vanuit de ontwikkelomgeving nog wel, ook niet nodig.
Ik zou er geen vertrouwen meer in hebben wat ze allemaal beweren...
02-12-2022, 08:18 door Anoniem
Door Anoniem:Hoe veel vertrouwen heb je in je cloud provider als je alles zelf kan doen? Alles in de cloud of alles zelf doen? Ik zal altijd alles zelf doen als dat mogelijk is. Ik vertrouw mijzelf meer als een cloud provider met louter commerciële motieven.

Het bedrijf heeft inderdaad louter commerciële motieven waarbij een hack of datalek gelijk staat aan verlies van veel omzet of zelfs ophouden te bestaan. Je mag er daarom ook vanuit gaan dat dat zeer goed geregeld is en voldoende budget krijgt.

Ik zou het misschien zelf ook kunnen, ik weet niet of dat dan beter zou zijn maar in elk geval wel veel meer werk. Ook deel ik veel wachtwoorden met mijn gezin, dat zit gewoon ingebouwd in LastPass. Zelfde met emergency contacts. Mocht er iets met mij gebeuren hoef ik niet een hoofdwachtwoord in mijn testament vast te leggen of zo. Als mijn vrouw vraagt krijgt ze na 24h toegang tot mijn kluis, tenzij ik zelf aangeef dat niet te willen.
02-12-2022, 10:12 door Anoniem
Door Anoniem:
Door Anoniem: LastPass heeft je wachtwoorden in de cloud staan. Dat is een extra attack surface die je niet hebt als je je wachtwoorden lokaal opslaat.

Availability is een extra risico als je lokaal opslaat...

Ik snap de gedachtegang en het zal in 80% van de gevallen correct zijn, maar toch iets te kort door de bocht.

Je kan ook interne systemen 'highly available' ontwerpen. In een dergelijk geval heb je met een intern systeem ook nog toegang als je internetverbinding wegvalt of diensten als Cloudflare problemen hebben. In dergelijke gevallen kan je nog inloggen op interne systemen zoals bijvoorbeeld je ERP. Voor professioneel gebruik kan een intern systeem dus een hogere beschikbaarheid halen dan de cloud, mits het goed ontworpen is.
02-12-2022, 10:19 door Anoniem
Door Anoniem:
Door Anoniem: LastPass heeft je wachtwoorden in de cloud staan. Dat is een extra attack surface die je niet hebt als je je wachtwoorden lokaal opslaat.

Ik durf te wedden dat Lastpass voor veel mensen de wachtwoorden beter kan beveiligen dan zij zelf thuis kunnen. Het gaat niet om de ICT kundige die alles zelf altijd beter kunnen (tot het mis gaat), maar om de grote groep die gemak en veiligheid proberen te balanceren. Je wachtwoorden zijn gewoon encrypt net als je thuis zou doen en de monitoring is vele malen beter.

Persoonsgegevens in profielen invullen is een ander punt. Daar zou ik altijd adviseren om alleen het nodige in te vullen. Dus bij lastpass hooguit je naam en e-mail adres (wat vaak toch al public domain is). Maar je leeftijd, nationaliteit, adres etc. is helemaal niet nodig. Dus niet invullen, dan kan het ook niet gestolen worden.

En neem Lastpass af via een van de partners. Dan hoef je ook niet je "creditcard" in te vullen. En kan je gewoon op factuur basis met een Nederlands bedrijf werken.
Dat is zeker waar, maar wat mij doet twijfelen bij diensten als LastPass en soortgelijke diensten, is dat ze een goudmijn zijn voor hackers en daarmee een nieuwe aanvalsvector vormen. Als een hacker door weet te dringen tot de wachtwoorden van LastPass gebruikers, dan heeft hij/zij een goudmijn in handen. Dat maakt het voor een hacker heel interessant om veel tijd en geld te stoppen in het hacken van diensten als Lastpass. Dergelijke inspanningen zal een hacker voor een 'normale' thuisgebruiker niet snel doen.
02-12-2022, 11:06 door -Peter-
Door Anoniem:
Door Anoniem: LastPass heeft je wachtwoorden in de cloud staan. Dat is een extra attack surface die je niet hebt als je je wachtwoorden lokaal opslaat.

Ik durf te wedden dat Lastpass voor veel mensen de wachtwoorden beter kan beveiligen dan zij zelf thuis kunnen. Het gaat niet om de ICT kundige die alles zelf altijd beter kunnen (tot het mis gaat), maar om de grote groep die gemak en veiligheid proberen te balanceren. Je wachtwoorden zijn gewoon encrypt net als je thuis zou doen en de monitoring is vele malen beter.

Ik ben bang dat de meeste mensen hun wachtwoorden thuis niet versleuteld opslaan, maar ergens in een bestand hebben staan.

Beschikbaarheid lossen ze dan op door het ergens op een website te plaatsen. Zoek maar eens op password en filetype xls.

Zelf gebruik ik Safe in Cloud. Die heeft de mogelijkheid om niet te synchroniseren (wat dus een probleem is als je device kapot of weg raakt). Als je syncrhoniseert kun je kiezen voor betrouwbare "cloud" storage. Waaronder je lokale webdrive. Al is dat natuurlijk niet voor iedereen weggelegd.

Peter
Peter
02-12-2022, 11:15 door Anoniem
Door Anoniem: Ik zou het misschien zelf ook kunnen, ik weet niet of dat dan beter zou zijn maar in elk geval wel veel meer werk. Ook deel ik veel wachtwoorden met mijn gezin, dat zit gewoon ingebouwd in LastPass. Zelfde met emergency contacts. Mocht er iets met mij gebeuren hoef ik niet een hoofdwachtwoord in mijn testament vast te leggen of zo. Als mijn vrouw vraagt krijgt ze na 24h toegang tot mijn kluis, tenzij ik zelf aangeef dat niet te willen.

Als LastPass jouw master password aan je vrouw kan geven, dan fronsen mijn wenkbrauwen daar wel van.

Ik deel met niemand mijn wachtwoorden en als ik dood ga kan niemand meer bij de accounts die ik had want ik vertel niemand waar ik mijn wachtwoorden off-line bewaar. Ook mijn Windows 10 computer zal opnieuw geïnstalleerd moeten worden, want het wachtwoord daarvan weet niemand buiten ikzelf.

De PIN code van je bank mag zelfs niemand weten, anders overtreed je de voorwaarden van je bank. Niet dat die in LastPass zullen staan want je PIN code voer je nooit op een computer in als het goed is.
02-12-2022, 11:27 door Anoniem
Er is maar 1 oplossing die veilig is. Gebruik een Áirgapped apparaat dat niet verbonden is met het Internet. Een wachtwoord kluis op je eigen PC zorgt namelijk ook voor een groot risico en gemak vergroot dit nog eens. Je wachtwoord via copy - paste plakken is het grootste risico dat je loopt

Via een airgapped mobiel apparaat kun je het veiligst met je wachtwoorden omgaan. Uiteraard dien je MFA te gebruiken voor al je identiteiten maar dit is niet altijd mogelijk. Een airgapped iphone werkt dan hetzelfde als een reader voor je bankapplicaitie.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.