LastPass heeft vandaag advies voor gebruikers gepubliceerd hoe die hun accounts kunnen beveiligen en zegt de gebrekkige communicatie te betreuren die bij klanten en gebruikers voor frustratie zorgde. Aanleiding is de diefstal van klantgegevens bij de wachtwoordmanager, waaronder back-ups met kluisgegevens. Afhankelijk van gebruikte instellingen en sterkte van het master password doen gebruikers er verstandig aan het master password te resetten, aldus het advies.

LastPass kreeg vorig jaar met twee incidenten te maken, waarbij twee keer een systeem van een medewerker werd gecompromitteerd. Bij het eerste incident werd de zakelijke laptop van een software-engineer gecompromitteerd en kon de aanvaller zo broncode, technische informatie en bepaalde interne systeem secrets van LastPass stelen. LastPass dacht dat het dit incident had afgehandeld, maar ontdekte later dat de buitgemaakte informatie in dit eerste incident werd gebruikt bij een aanval die tot het tweede incident leidde.

Bij het tweede incident werd de thuiscomputer van een DevOps-engineer met malware geïnfecteerd. Via deze computer kreeg de aanvaller uiteindelijk toegang tot de cloudopslag waar LastPass de back-ups van de kluisdata van alle klanten bewaart. De wachtwoordmanager stelt dat alle gevoelige kluisdata van klanten, op url's, file paths van de installatie en bepaalde e-mailadressen, versleuteld was. Deze data is te ontsleutelen met een encryptiesleutel die van het master password is afgeleid.

De aanvaller ging er ook vandoor met een back-up van de LastPass MFA/federation database die kopieën van LastPass Authenticator seeds en telefoonnummers voor de MFA back-up optie bevat, alsmede de K2 key gebruikt voor LastPass federation. Deze database was versleuteld, maar de decryptiesleutel om die te ontsleutelen is ook door de aanvaller gestolen.

LastPass heeft nu een securitybulletin voor eindgebruikers en zakelijke gebruikers gepubliceerd met aanbevelingen om accounts, naar aanleiding van de gestolen data, te beveiligen en verdere maatregelen te nemen. Daarbij wordt onder andere gekeken naar de sterkte van het master password, gebruikte master password hash iteraties en het gebruik van MFA voor toegang tot de wachtwoordkluis.

Verder laat de wachtwoordmanager weten dat veel klanten vonden dat het vaker en duidelijker over de incidenten had moeten communiceren. LastPass stelt dat het gezien de duur van het onderzoek hier een afweging in moest maken, maar zegt de frustratie over de initiële communicatie te begrijpen en betreuren.